Для виправлення уразливостей і додавання нових функцій в свою систему безключового доступу в автомобілях Tesla Model X компанія Tesla використовує дистанційне оновлення. Однак, за словами фахівця Левенського католицького університету (Бельгія) Lennert Wouters, за допомогою цього механізму доставки оновлень можна в лічені хвилини викрасти автомобіль.

Фахівець виявив як у системі безключового доступу Tesla Model X так і в самому автомобілі уразливості, що дозволили йому через Bluetooth-підключення переписати прошивку брелока, зняти код розблокування і викрасти автомобіль. За словами дослідника, викрадач, якому вдасться прочитати ідентифікаційний номер (зазвичай його видно на приладовій панелі автомобіля через лобове скло) і наблизитися до брелоку жертви на відстань 4,6 м, зможе проексплуатувати ці уразливості. Необхідне для цього обладнання обійдеться в $ 300, його спокійно можна вмістити в рюкзак, а управління здійснюється за допомогою смартфона.

Всього за 90 секунд пристрій здатний витягти радіокод для розблокування Tesla Model X. Опинившись всередині автомобіля, викрадач може проексплуатувати другу уразливість і всього за хвилину завести машину за допомогою власного брелока.

“Ця комбінація з двох уразливостей дозволяє хакеру викрасти Model X за кілька хвилин. Якщо їх скомбінувати, атака вийде набагато ефективнішою”, – повідомив дослідник.

Дослідник повідомив Tesla про проблему в серпні нинішнього року, і компанія пообіцяла випустити виправлення для брелоків (і, можливо, для компонентів автомобіля) на цьому тижні. За словами виробника, розсилка оновлень всім уразливим Tesla Model X може зайняти до одного місяця, тому власники повинні встановлювати всі доступні оновлення, щоб захистити себе від вищеописаної атаки. Зі свого боку дослідник пообіцяв не публікувати завчасно ніяких кодів і подробиць про уразливість щоб уникнути їх можливої ​​експлуатації хакерами.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

У Zoom нарешті доступне наскрізне шифрування: як увімкнути його на своєму пристрої?

Фішингові листи: розпізнаємо шахрайство на реальному прикладі

Як зупинити отримання SMS на свій смартфон із розсилкою від торгових мереж?

Як виміряти рівень кисню у крові за допомогою Apple Watch? – ІНСТРУКЦІЯ

Як увімкнути нову функцію відстеження миття рук на Apple Watch? – ІНСТРУКЦІЯ

Нагадаємо, компанія Google випустила чергові патчі для Android, загалом усунувши понад 30 уразливостей. Найсерйознішою з нових проблем, згідно з бюлетенем, є можливість віддаленого виконання коду (RCE), виявлена в одному з компонентів системи Android.

Також мешканця  міста Хмельницький впіймали на розповсюдженні конфіденційної інформації користувачів мережі Інтернет, серед якої були логіни та паролі доступу до різних інтернет-ресурсів, електронних поштових скриньок, облікових записів соціальних мереж та електронних гаманців

До речі, у WhatsApp з’явилася довгоочікувана функція, що дозволяє автоматично видаляти повідомлення. Тепер користувачі можуть включити “Автовидалення” для особистих чатів, після чого відправлені повідомлення будуть зникати через сім днів. У групових бесідах тільки адміністратори можуть включити або відключити нововведення.

Зверніть увагу, що зловмисники зловживають функціоналом Google Диска і використовують його для розсилки нібито легітимних електронних листів і push-повідомлень від Google, які в разі відкриття можуть перенаправити людей на шкідливі web-сайти.

Окрім цього, нову вимагацьку кампанію, націлену на користувачів сервісу для відеоконференцій Zoom, виявили дослідники Bitdefender Antispam Lab. Мова йде про так зване “інтимне вимагання” (sextortion), яке припало до смаку зловмисникам останнім часом.

Ця стаття У Tesla Model X є дві уразливості, які дозволяють легко викрасти авто раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Чотири британські спортсменки стали жертвами кіберзлочинців, які отримали доступ до їх фотографій і відеороликів в оголеному вигляді на iCloud і опублікували їх online.

У однієї з них зловмисники викрали близько ста фото і відео, а в іншої – більше тридцяти, повідомляє The Times. Імена спортсменок не уточнюються. В цей час потерпілі та їхні представники вживають усіх можливих заходів з видалення особистих матеріалів із Мережі.

“Досить складно вирішити, що робити далі. Люди, які так чинять, хворі. Нам вже зустрічалися вельми неприємні випадки, в тому числі, коли людей навіть шантажували викраденими матеріалами. Однак взяти ситуацію в свої руки не так-то просто. Лише на те, щоб видалити матеріали з інтернету, можуть піти роки. Як жертва ви повинні вирішити для себе, чи хочете ви проходити через все це”, – повідомив представник однієї з постраждалих спортсменок.

The Times описує інцидент як “витік iCloud”, проте компрометуючі матеріали могли бути викрадені в результаті фішингу.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

У Zoom нарешті доступне наскрізне шифрування: як увімкнути його на своєму пристрої?

Фішингові листи: розпізнаємо шахрайство на реальному прикладі

Як зупинити отримання SMS на свій смартфон із розсилкою від торгових мереж?

Як виміряти рівень кисню у крові за допомогою Apple Watch? – ІНСТРУКЦІЯ

Як увімкнути нову функцію відстеження миття рук на Apple Watch? – ІНСТРУКЦІЯ

Нагадаємо, компанія Google випустила чергові патчі для Android, загалом усунувши понад 30 уразливостей. Найсерйознішою з нових проблем, згідно з бюлетенем, є можливість віддаленого виконання коду (RCE), виявлена в одному з компонентів системи Android.

Також мешканця  міста Хмельницький впіймали на розповсюдженні конфіденційної інформації користувачів мережі Інтернет, серед якої були логіни та паролі доступу до різних інтернет-ресурсів, електронних поштових скриньок, облікових записів соціальних мереж та електронних гаманців

До речі, у WhatsApp з’явилася довгоочікувана функція, що дозволяє автоматично видаляти повідомлення. Тепер користувачі можуть включити “Автовидалення” для особистих чатів, після чого відправлені повідомлення будуть зникати через сім днів. У групових бесідах тільки адміністратори можуть включити або відключити нововведення.

Зверніть увагу, що зловмисники зловживають функціоналом Google Диска і використовують його для розсилки нібито легітимних електронних листів і push-повідомлень від Google, які в разі відкриття можуть перенаправити людей на шкідливі web-сайти.

Окрім цього, нову вимагацьку кампанію, націлену на користувачів сервісу для відеоконференцій Zoom, виявили дослідники Bitdefender Antispam Lab. Мова йде про так зване “інтимне вимагання” (sextortion), яке припало до смаку зловмисникам останнім часом.

Ця стаття “Витік iCloud”: кіберзлочинці викрали фото британських спортсменок раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Радіоведуча з Австралії Анабель Брет не тільки запобігла викраденню свого електрокара, а й допомогла поліції піймати злодіїв – все завдяки додатку Tesla.

Спочатку жінка отримала повідомлення на телефон про те, що спрацювала сигналізація. Вона побачила, що авто немає на місці і відкрила мобільний додаток. Брет не розгубилася і відправилася в погоню за зловмисниками, дорогою знущаючись над ними через додаток на смартфоні.

Спритна автоледі активувала на своїй Tesla режим “Valet Mode”. З його допомогою дівчина обмежила максимальну швидкість машини до 112 км/год, вмикала і вимикала в салоні світло, керувала електросклопідйомниками і клаксоном.

Викрадачі не витримали психологічного тиску і втекли, залишивши машину на узбіччі. Один із зловмисників впустив в Tesla своє водійське посвідчення. Поліція з легкістю доведе, що водійські права належать саме викрадачеві, адже електрокар включив запис навколишнього оточення після викрадення.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Фішингові листи: розпізнаємо шахрайство на реальному прикладі

Як вимкнути веб-камеру та мікрофон у Zoom? – ІНСТРУКЦІЯ

Як змінити ім’я користувача у Twitter? – ІНСТРУКЦІЯ

Як виявити шахрайство з технічною підтримкою та уникнути його? Поради

Як виміряти рівень кисню у крові за допомогою Apple Watch? – ІНСТРУКЦІЯ

Як увімкнути нову функцію відстеження миття рук на Apple Watch? – ІНСТРУКЦІЯ

Нагадаємо, оператор платіжної системи Mastercard готує до пробних випробувань банківську карту F.CODE Easy, що використовує відбитки пальців для підтвердження прав на транзакцію в платіжних терміналах магазинів.

Також з’явився мобільний додаток доповненої реальності #PrisonersVoice, який привертає увагу міжнародної спільноти до українських бранців Кремля та до системного порушення Російською Федерацією прав людини загалом.

До речі, експерт з інтернет-безпеки, “білий хакер” із Нідерландів Віктор Геверс, відомий тим, що зміг зайти на екаунт президента США Дональда Трампа в 2016 році, повторив свій “успіх” в 2020 році.

Окрім цього, кіберзлочинне угруповання викрало понад 3 Тб приватних відео та розмістило їх на сайтах для дорослих. Серед викладених матеріалів були як відверто інтимні, так і цілком буденні. Зловмисники отримали доступ до понад 50 тисяч особистих IP-камер, що дозволило зібрати колекцію відеоматеріалів.

А 30-річний житель Івано-Франківщини створив веб-сайти, де на платній основі надавав доступ до перегляду фільмів. Засновник онлайн-кінотеатрів не мав дозволів від правовласників на розповсюдження їхніх творів та порушив авторські права двох іноземних кінокомпаній.

Ця стаття Власниця Tesla змусила викрадачів відмовитися від угону за допомогою смартфона раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Хакери зламали криптовалютний гаманець індійської криптобіржі Cashaa. Компанія повідомила про інцидент у департамент із розслідування кіберзлочинів поліції Делі і іншим торговим майданчикам. Для зберігання цифрових грошей біржа використовувала сервіс Blockchain.com.

Фахівці біржі підозрюють зараження вірусом одного з комп’ютерів, що використовуються для здійснення виплат користувачам. Зловмисник отримав доступ до цього комп’ютера і, після того, як співробітник Cashaa увійшов у гаманець, зумів вивести біткоїни.

“Всі провідні біржі і наші партнери об’єдналися, щоб відправити хакеру переконливе послання. Що йому вивести вкрадені у нас біткоїни буде не так просто”, – повідомив представник торгового майданчика.

Також власник біржі розкритикував торгові платформи, які дозволяють хакерам переводити гроші в готівку:

“Хaкepи впевнені в тoму, щo мoжуть зламати криптоадресу і знімати готівку на біржах, що сприяють відмиванню грошей. Пoдібні біpжі повинні бути зaкpиті, a власники цих біpж повинні отримати звинувачення в злочинній діяльності, яка пов’язана з відмиванням коштів”.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

ЯК ОЧИСТИТИ КЕШ ТА ФАЙЛИ COOKIES У БРАУЗЕРІ FIREFOX? – ІНСТРУКЦІЯ

ПОРАДИ ЩОДО ОРГАНІЗАЦІЇ СВОЇХ ДОДАТКІВ ДЛЯ IPHONE АБО IPAD

ЯК ЗАПОБІГТИ ДЕФРАГМЕНТАЦІЇ ТВЕРДОТІЛОГО НАКОПИЧУВАЧА SSD? ІНСТРУКЦІЯ

НАВІЩО ПОТРІБЕН МЕНЕДЖЕР ПАРОЛІВ ТА ЯК ПРАВИЛЬНО ЙОГО ОБРАТИ?

ЯК ЗАБОРОНИТИ GOOGLE ЗБИРАТИ ВАШІ ДАНІ ТА НАЛАШТУВАТИ ЇХНЄ АВТОВИДАЛЕННЯ? ІНСТРУКЦІЯ

Ноутбук та рідина – це погана комбінація, але трапляються випадки, коли вони все ж таки “об’єднуються”. Про те, що робити, якщо це сталося, читайте у статті.

Також після тестування стало відомо, що надзвичайно популярний сьогодні додаток – TikTok, зберігає вміст буфера обміну кожні кілька натискань клавіш. Цей факт насторожив багатьох користувачів, але TikTok лише один із 53 додатків, які зберігають інформацію про користувачів таким чином.

Стало відомо, що мешканець Житомирщини підмінив міжнародного мобільного трафіку на понад півмільйона гривень. Крім цього, встановлено інші злочинні осередки які здійснюють підміну міжнародного трафіку в різних регіонах країни.

До речі, хакери використовували шкідливе програмне забезпечення, через яке викрадали реквізити банківських електронних рахунків громадян США, Європи, України та їхні персональні дані. Зокрема, через електронні платіжні сервіси, у тому числі заборонені в Україні російські, вони переводили викрадені гроші на власні рахунки у вітчизняних та банках РФ і привласнювали.

Хакери зараз користуються сервісом Google Analytics для крадіжки інформації про кредитні картки із заражених сайтів електронної комерції. Відповідно до звітів PerimeterX та Sansec, хакери зараз вводять шкідливий код, призначений для крадіжки даних на компрометованих веб-сайтах.

Ця стаття Хакери вкрали з криптобіржі 336 біткоїнів на суму в $3,1 млн. раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Після звістки про метод віддаленого зламу “розумного” брелока від електрокара Tesla Model S, виробник компанія Pektron випустила нову версію ключа з більш надійним шифруванням. Однак дослідники знову знайшли спосіб зламати його, клонувати брелок і викрасти автомобіль.

Як тоді зазначалося, атака і клонування брелока попередньої моделі займали 2 секунди.

Дослідник з Левенського університету Lennert Wouters пояснив, що радіодіапазон нової атаки дещо обмежений, а її проведення займає більше часу в порівнянні з попереднім методом. Незважаючи на те, що в новій версії Tesla і Pektron реалізували 80-бітний ключ шифрування (в попередніх версіях був реалізований 40-бітний), ця уразливість дозволяє спростити задачу і зловмиснику потрібно всього лише зламати два 40-бітних ключа.

“Новий брелок краще, ніж попередній, але з наявністю вдвічі більшої кількості ресурсів можливо зробити його копію”, – пояснив дослідник виданню Wired.

Гарна новина полягає в тому, що для захисту від подібної атаки не буде потрібно міняти брелок, досить буде лише встановити створене Tesla оновлення безпеки, що дозволяє власникам авто встановити цифровий PIN-код, що відкриває доступ до автомобіля. Проте, для забезпечення повної безпеки власникам електрокарів усе одно рекомендується не тільки встановити оновлення, а й придбати новий брелок.

До речі, в офіційному магазині Google Play виявили шкідливий додаток зі шпигунським функціоналом. Програма-шпигун була замаскована під додаток Radio Balouch, який використовувався для прослуховування радіо в онлайн-режимі.

Нагадаємо, що була виявлена шкідлива кампанія, яка експлуатує уразливість в деяких плагінах для WordPress. За словами дослідників із Wordfence, жертв перенаправляють на підконтрольні зловмисникам web-сайти.

Також Google збільшила кількість часу, який необхідний новій програмі Android, щоб пройти процедуру затвердження Play Store.

Стало відомо, що Google впроваджує нову ініціативу Privacy Sandbox, у рамках якої розробляється новий набір відкритих стандартів. За їх допомогою Google прагне створити баланс між конфіденційністю користувачів і бажанням рекламних компаній відстежувати їх.

Окрім цього, Linux Foundation, Microsoft, Google, Alibaba, Arm, Baidu, IBM, Intel, Red Hat, Swisscom і Tencent підписали угоду про створення консорціуму щодо захисту конфіденційності даних.

Міжнародна антивірусна компанія ESET виявила нову фішингову кампанію, націлену на користувачів продукції Apple. Шахраї розсилали листи, де вимагали від одержувачів “верифікувати” персональні дані після недавнього відновлення доступу до Apple ID.

Зверніть увагу, в Microsoft виявили незвичайну фішингову кампанію, в якій використовуються кастомні сторінки з помилками 404. Таким чином зловмисники намагаються обманом змусити потенційних жертв видати свої облікові дані.

Cisco попередила про доступність експлойтів для трьох уразливостей в пристроях Cisco Small Business 220 Series Smart Switches, виправлених на початку серпня. Компанія також виправила більше 30 критичних і небезпечних уразливостей, виявлених в її програмному забезпеченні.

В автомобільних імобілайзерах виявлена ​​уразливість, експлуатація якої дозволяє зловмисникам заблокувати транспортний засіб жертви.

Ця стаття Зламати Tesla неможливо за дві секунди, тепер потрібно більше чотирьох раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин