Divat lett az autók hackelése
Most már rendszeresen kerülnek napvilágra olyan sebezhetőségek, amelyek gépkocsik hackelésére adnak lehetőséget. Komoly probléma, hogy mindezzel a legnagyobb gyártók sem tudnak mit kezdeni. Egyelőre.Júliusban nagy hírverést kapott az a hackelés, amelynek főszereplője egy 2014-es Jeep Cherokee volt. Két biztonsági kutató, Charlie Miller és Chris Valasek ugyanis egy olyan támadási eljárást dolgozott ki, amelynek révén távolról átvehetővé vált a tesztbe bevont gépkocsi feletti irányítás. Távolról bekapcsolták a klímát, az ablaktörlőt, majd megbolondították a műszerfalat, és folyamatosan nyomon követték az autó mozgását GPS segítségével. Emellett ki tudták iktatni a féket, sőt még kormányozni is tudták az autót a notebookjukról, legalábbis hátramenetben. A kutatók által kihasznált sérülékenységet az Uconnect rendszer tartalmazta, amihez azóta már elkezdtek megjelenni a biztonsági frissítések.
Forrás: Wired
Az etikus hackerek tovább dolgoztak
A biztonsági kutatók számára természetesen nem állt meg az élet az Uconnect sérülékenységénél. Mindennek ékes bizonyítékát adta Samy Kamkar a Las Vegas-ban nemrégen megrendezett DEF CON hackerkonferencián. Egy 100 dolláros kütyü segítségével demonstrálta, hogy miként lehet kompromittálni a GM által preferált OnStar RemoteLink mobil alkalmazás iOS kompatibilis változatát. A OnStar egyik célja, hogy a gépkocsik tulajdonosai számára lehetőséget adjon arra, hogy az okostelefonjaikról lekérdezzék a jármű pozícióját, kinyissák az ajtókat, vagy akár beindítsák a motort.
Kamkar kis eszköze az iOS alkalmazás egyik sebezhetőségét használta ki. Mégpedig azt, hogy a szoftver nem minden esetben ellenőrzi megfelelően az SSL tanúsítványokat, aminek következtében közbeékelődéses támadás útján hozzá lehet férni a célkeresztbe állított felhasználó gépkocsijához. Ehhez a trükkhöz egy hamis WiFi hozzáférési pontot is felhasznált a szakember, és arra vette rá az érintett készülékeket, hogy azon keresztül csatlakozzanak az internethez, miközben ő maga lehallgatta, illetve manipulálta a hálózati adatforgalmat.
A GM a biztonsági rés hírére már reagált, és kiadott egy frissítést. Ugyanakkor időközben kiderült, hogy az SSL-alapú sebezhetőség nem kizárólag a RemoteLink alkalmazásban van jelen, hanem egyebek mellett a Mercedes (mbrace), a BMW (My BMW Remote) és a Chrysler (Uconnect) alkalmazásaiban is. Kamkar ezen gyártóknak is jelezte a felfedezéseit, de a hibajavítások még nem készültek el.
A helyzetet fokozza, hogy a BMW esetében már jóval korábban ismert volt a sérülékenység. Han Sahin, a holland Securify cég alapítója ugyanis közölte, hogy az SSL-lel kapcsolatos biztonsági hiányosságokról már április 22-én tájékoztatta a BMW-t. Állítólag a hibabejelentést a gyár biztonsági vezetője is megkapta, amit vissza is igazoltak. Azonban a sebezhetőség a mai napig ott tátong az érintett szoftveren.
Hogy lesz ebből biztonság?
Egyelőre nagyon úgy fest, hogy az autógyártók csak mostanság kezdenek észbe kapni, és kezdik felismerni, hogy az információbiztonsági kockázatok a gépkocsikba is bekopogtattak. Vélhetőleg minél több rendellenesség kerül napvilágra, annál nagyobb figyelmet kapnak majd a sebezhetőségek, illetve az azokra adott gyártói reakciók. Erre nagy szükség is lesz, hiszen a nyári események is igazolták, hogy ha egy biztonsági résre fény derül, akkor az több millió gépkocsit érinthet hátrányosan. Az pedig biztosra vehető, hogy nem kizárólag etikus hackerek kísérleteznek a járművekbe helyet kapó vagy az azokhoz kapcsolódó alkalmazások térdre kényszerítésével…
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
-
A ClamAV kapcsán egy közepes veszélyeségű sebezhetőségre derült fény.
-
Az IBM két sebezhetőségről számolt be a WebSphere Application Server kapcsán.
-
Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
-
Több mint egy tucat biztonsági javítással bővült a Google Chrome.
-
Letölthető a VirtualBox legújabb kiadása benne 13 biztonsági javítással.
-
Az Oracle nyolc olyan biztonsági résről számolt be, amelyeket a Database Server kapcsán kellett orvosolnia.
-
A MySQL három tucat biztonsági frissítéssel gyarapodott.
-
Az Java több mint egy tucat biztonsági frissítést kapott.
-
A Microsoft három biztonsági rést foltozott be az Edge webböngészőn.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.