Хакеры взломали мобильное приложение для управления автомобилем

Discussion in 'Мировые новости. Обсуждения.' started by aka dexter, 29 Jul 2011.

  1. aka dexter

    aka dexter Elder - Старейшина

    Joined:
    23 Jun 2006
    Messages:
    536
    Likes Received:
    774
    Reputations:
    74
    По сообщению Network World, на прошедшей в Лас-Вегасе конференции по электронной безопасности Black Hat исследователи Дон Бэйли (Don Bailey) и Мэтью Солник (Mathew Solnik) продемонстрировали, как с помощью ноутбука можно удаленно открыть двери и запустить двигатель автомобиля, взломав сигнал, который отправляет специализированное приложение со смартфона. Когда пользователь нажимает кнопку открытия дверей или удаленного запуска двигателя в мобильном приложении, телефон отправляет сигнал в сервисный центр сотового оператора, а мобильный оператор отправляет управляющий сигнал автомобилю. Исследователи продемонстрировали, что этот сигнал можно перехватить и эмулировать. Злоумышленник может воспроизвести сигнал от оператора в отсутствие хозяина автомобиля, и без каких-либо проблем открыть двери, завести двигатель и уехать. Хотя хакеры и не раскрыли информацию о том, на каких автомобилях был произведен эксперимент, известно, что первыми фирмами, применившими мобильные приложения для удаленного управления дверями и запуском двигателя стали GM и Mercedes-Benz. Исследователи отказались поделиться подробностями своего подхода до тех пор, пока разработчики автомобильных приложений не устранят обнаруженные уязвимости.

    Источник: http://uinc.ru/news/sn16238.html
    Дата: 29/07/2011 16:41​
     
  2. K800

    K800 Nobody's Fool

    Joined:
    25 Dec 2010
    Messages:
    2,042
    Likes Received:
    3,536
    Reputations:
    348
    «Боевые текстограммы» атакуют автосигнализации

    Исследователь продемонстрирует на следующей неделе в рамках конференции Black Hat USA, как «ужасающе» легко обезоружить автосигнализацию и контролировать другие устройства, подключённые к сетям GSM и сетям сотовой связи.

    Исследователю Дону Бэйли потребовалось всего пару часов на то, чтобы взломать и подключиться к популярной автосигнализации и удалённо завести машину, отправляя ей текстовые сообщения.

    Бэйли, консультант по безопасности iSec Partners, планирует на следующей неделе в рамках Black Hat USA продемонстрировать видео взлома автосигнализации, который они провели с его коллегой Мэтом Солником. Их презентация для Black Hat называется «Боевые текстограммы: Идентификация и взаимодействие с устройствами через телефонную сеть».

    Физические системы обеспечения безопасности, подключённые к GSM и к сетям сотовой связи, такие как устройства отслеживания по GPS и автомобильные сигнализации, так же как и системы контроля автомобильного движения, домовые системы контроля и автоматизированные системы, а также SCADA-сенсоры подвержены атакам, по словам Бэйли.

    Боевые текстограммы Бэйли демонстрировал ранее в этом году в применении к персональным GPS-локаторам. Он продемонстрировал, как взломать персональные GPS-устройства производства Zoomback так, чтобы найти их, захватить, а потом действовать от имени пользователя или оборудования, работающего с такими устройствами, которые должны слушаться только клиента. Недорогие встроенные устройства слежения, которыми укомплектованы смартфоны, а также GPS-устройства, которые отслеживают местонахождение ваших детей, машины, домашнего животного или процесс перевозки грузов, могут быть перехвачены злоумышленниками, которые могут узнать точное местоположение объекта, перехватить управление устройством и подменить истинное физическое расположения объекта на ложное, говорит он.

    Между тем, его исследование для Black Hat концентрируется больше на инфраструктуре, а заодно на так называемых отпечатках этих устройств и их классификации среди миллионов номеров сотовых телефонов. Однажды скомпрометированные злоумышленником через сеть, эти устройства затем могут быть использованы в злонамеренных целях. Например, автомобильные сигнализации уязвимы, потому что они соединяются и работают в ждущем режиме через оснащённые Интернетом сети сотовой связи, получая сообщения с управляющих серверов, говорит Бэйли.

    Бэйли предлагает производителям автомобильных сигнализаций задуматься над решением проблемы. Он говорит, что эти и другие устройства не защищены от реверс-инжиниринга и могут быть скомпрометированы через их соединения к GSM и сетям сотовой связи. «Их проприетарные протоколы [традиционно] были изолированы и так обфусцированы, что было невозможно точно сказать, что происходит», – говорит Бэйли. «Но производители автосигнализаций должны сейчас беспокоиться о реверс-инжиниринге их проприетарных протоколов».

    Как заявляет Бэйли, злоумышленник может собрать до этого неизвестные сведения об особенностях сигнальных устройств через телефонную сеть. «Теперь, когда они делятся информацией со своими партнёрами о GSM-модулях… они подвергают опасности весь бизнес. Это серьёзно с такой точки зрения: злоумышленники могут, наконец, весьма просто «забраться под капот», потому что они будут чувствовать себя как дома в отношении к GSM».

    Бэйли планирует выпустить новые утилиты для того, чтобы помочь собрать информацию о таких устройствах. «[Утилиты] покажут, как просто можно настроить соединение с сетью для массированного сканирования по всей телефонной сети», – говорит он. «Идея соединения с устройствами с помощью боевых текстограмм через телефонную сеть весьма проста».

    Бэйли заявляет, что взлом автомобильной сигнализации существенно увеличивает степень опасности подключения таких устройств к сетям GSM и сетям сотовой связи. «Учитывая то, чего мне удалось достичь за два часа с автомобильной сигнализацией, можете только представить себе, что будет, если нацелиться на другие подобные устройства, такие как SCADA-системы и камеры контроля автомобильного трафика. То, как быстро и просто их взломать с помощью реинжиниринга – это просто ужасно», – говорит он.

    Он заявил, что может просканировать и другие устройства для того, чтобы взломать их тем же способом. «Ничего не стоит взломать их с помощью реверс-инжиниринга. Знания их модулей и понимания их дизайна вполне достаточно», чтобы провести атаку с помощью боевых текстограмм, говорит он.

    Но как улучшить защищённость таких устройств? «Настоящий ответ – больше уделять внимания разработке: заставлять людей, разрабатывая архитектуру таких систем, анализировать их безопасность со всех сторон, чего сейчас они не делают», – сказал Бэйли.

    30.07.2011
    http://www.anti-malware.ru/news/2011-07-31/4414​
     
Loading...