Возможность взлома через USB-накопитель превращает умную машину в оружие

Возможность взлома через USB-накопитель превращает умную машину в оружие

Исследователи в очередной раз продемонстрировали, как можно взломать умные автомобили. На этот раз для этого использовался USB-накопитель, эксплуатирующий уязвимость в реализации протокола SSH, что позволяет мгновенно получить доступ к машине с любого телефона.

Этот способ позволяет получить доступ ко всей личной информации, которую собрал автомобиль. Поскольку многие производители игнорируют уязвимость SSH, злоумышленники часто используют ее для DDoS-атак. Например, в прошлом году исследователи Akamai обнаружили в OpenSSH, которой было 12 лет, она охватывала 2 миллиона устройств.

Настораживающей особенностью является то, что в некоторых случаях взлом можно осуществить в то время, когда водитель находится за рулем, что может привести к печальным последствиям и угрожать безопасности многих людей. Американские исследователи Чарли Миллер и Крис Валасек провели эксперимент, целью которого было показать, как легко можно получить контроль над вентиляционной системой, стеклоочистителями или радиоприемником.

Более того, им удалось даже контролировать тормоза, а это уже прямая угроза для водителя такого транспортного средства. После этого эксперимента был выпущен патч и отозвано 100 000 автомобилей с рынка.

Эксперты намекают, что у таких возможностей взлома есть и положительные стороны — например, правоохранительные органы могут получить историю GPS и другой важной информации для расследования. Тем не менее, считают специалисты, все это должно строго регулироваться.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Уязвимость LastPass сливала последние использованные учетные данные

В популярном менеджере паролей LastPass нашли уязвимость, которая позволяла выкрасть учётные данные, использованные для входа на последнем веб-сайте.

Задействовать этот баг в атаке можно было в браузерах Google Chrome и Opera. Помимо этого, атакуемого пользователя надо было заставить выполнить несколько шагов.

О проблеме сообщил Тэвис Орманди. По его словам, злоумышленник мог создать определённый сценарий кликджекинга для пользователя LastPass.

Упрощённо схема выглядит так: жертву заставляют произвести вход на определённом ресурсе, а затем ее заманивают на вредоносный или скомпрометированный сайт, на котором загружается специальный iframe.

Орманди направил разработчикам LastPass технические детали уязвимости, используя которую киберпреступники могут собрать последние учётные данные.

Такая атака увенчается успехом в том случае, если все действия совершаются в одной вкладке браузера. В случае внедрения вредоносного iframe запускается цепочка верификации, а затем происходит утечка последних кешированных данных, подставленных в поле «пароль».

«Таким образом, благодаря кликджекингу происходит утечка учётных данных, используемых на предыдущем сайте», — объяснил Орманди в отчёте.

Компания уже выпустила обновлённые версии расширения LastPass.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru