A Bloomberg mutatta be a 19 éves David Colombót, aki a bajorországi Dinkelsbühlben él és azt állítja, hogy 13 országban összesen 25 Tesla modellt tudott részben feltörni. A fiatalember mindezt úgy érte el, hogy kikapcsolta az autók úgynevezett Sentry üzemmódját, amelynek köszönhetően ki tudta nyitni az ajtókat és le tudta engedni az ablakokat, végül pedig az egyes járműveket is elindította. Bekapcsolta a fedélzeti szórakoztató rendszert, meghatározta az egyes gépkocsik pontos helyzetét és még azt is meg tudta állapítani, hogy a sofőr az autóban tartózkodik-e. A teljes ellenőrzést ugyanakkor nem tudta megszerezni az egyes modellek felett.
A háttérben az állt, hogy a Tesla járművei a különböző fedélzeti rendszerekhez rendszeresen szoftverfrissítéseket kapnak, ezek segítségével integrálhatók az új funkciók. A gyártó eddig ezeket a programokat le tudta védeni azonban minden bizonnyal a partnerei a közelmúltban már nem végeztek tökéletes munkát.
Columbo elmondta, hogy már felvette a kapcsolatot a Tesla biztonsági csapatával azért, hogy a talált hiányosságokat be lehessen foltozni, illetve a lehetséges támadási forgatókönyveket ki lehessen zárni.
A háromnapos Pwn2Own hackerversenyen az operációs rendszereket és népszerű szoftvereket a biztonsági kutatók, az eseményt szponzoráló vállalatoktól egymillió dollárnál is több jutalmat gyűjtöttek be a sebezhetőségeik sikeres kihasználásával.
Az összes sikeres hackelés közül az egyik legcsúnyábbat Daan Keuper és Thijs Alkemadea demonstrálták. A Computest biztonsági cég kutatói három a Zoom windowsos appjában található sebezhetőséget összefűzve képesek voltak távolról teljesen átvenni az irányítást a szoftvert futtató Windows 10-es számítógép felett.
Ami igazán súlyossá teszi a támadást, hogy az áldozattá váláshoz elég megnyitni egy támadó kódot tartalmazó e-mailt, nem kell rákattintani a benne lévő linkre. Ennek köszönhetően még a kifejezetten biztonságtudatos, a gyanús levelekben érkező hivatkozásokra soha rá nem klikkelő felhasználók is minden további nélkül pórul járhatnak.
A biztonsági kutatók kiemelkedően magas, 200 ezer dolláros (bő 60 millió forintos) jutalmat kaptak a mutatványukért. A Zoomnak 90 napja van javítani a sebezhetőségeket a támadás részleteinek nyilvánosságra hozása előtt, de a helyzet súlyosságára való tekintettel valószínű, hogy napokon belül elkészülhet a hibákat befoltozó szoftverfrissítés.
A Pen Test Partners szerint egyes okosórákat különösebb hozzáértés nélkül is fel lehet törni, főleg, ha valamilyen hibás alkalmazáshoz kapcsolódnak. A hackerek így nem csak láthatják, merre jár az eszköz viselője, de fals jelzéseket is küldhetnek neki. Például arról, hogy vegye be a gyógyszerét.
Egy brit kiberbiztonsági vállalat, a Pen Test Partners olyan sérülékenységet fedezett fel egy okosórák körében népszerű alkalmazásban, amellyel fals jelzések adhatók le a készülék viselőjének.
A SETracker nevű appot kínai programozók készítik, és a világ számos táján használják. Elsősorban arra jó, hogy az okosóra vagy a telefon tulajdonosát, például egy gyermeket, távolról is nyomon lehessen követni. De a szolgáltatás idős emberek számára is hasznos: emlékeztetők küldhetek vele az érintettnek, hogy ne felejtse el bevenni a gyógyszereit.
A brit szakemberek szerint az alkalmazásban lévő hiba miatt azonban lehetségessé vált, hogy a hackerek akkor küldjenek ilyen értesítéseket, amikor csak akarnak. Ez egy egészséges idős számára önmagában nem jelenthet problémát, de ha az órát egy demens betegnek adták, úgy akár a túladagolás veszélye is fennállhatott – írta a BBC.
A kínai fejlesztők a Pen szerint mára kijavították a szoftverben lévő hibát, igaz, csak napokkal azután, hogy a társaság figyelmeztette őket. A program ráadásul milliónyi eszközhöz csatlakozik, ezért elképzelhető, hogy sokan nem is értesültek róla. A nagyobb problémát az jelenti a kutatók szerint, hogy a hiba kihasználásához nem volt szükség komolyabb hozzártésre: egy alap hackertudással is ki lehetett cselezni a rendszert.
A foltot az app gyártói oldaláról helyezték a rendszerbe, így az azt használóknak semmit sem kell telepíteniük vagy frissíteniük – legalábbis ezt mondják.
Egy Windows-hiba miatt a hackereknek hozzáférhetnek a felhasználók számítógépéhez –közöltea Microsoft.
A vállalat tisztában van a Windows-hibával, melyet az Adobe Type Manager problémája okoz, de egyelőre még nem sikerült kijavítania. A Microsoft elmondta, a hackerek kihasználják a biztonsági rést, arról azonban nem számolt be, hogy kik állhatnak a támadások mögött – írta az Independent.
A cég állítása szerint már dolgozik a probléma kijavításán, de a becslése szerint legkorábban csak a következő hónapban esedékes frissítéssel hárulhat el a veszély.
A tech óriás ugyanakkor kiemelte: a Windows 10-ben a legalacsonyabb a támadás esélye, mert az operációs rendszer új verziója erősebb védelemmel rendelkezik.
Állításuk szerint a Windows 10-et futtató számítógépek közül még nem jelentettek illetéktelen hozzáférést, ezért azt javasolták, aki csak teheti, frissítse eszköze operációs rendszerét.
A hibát a Microsoft a lehető legmagasabb szintű „kritikus” osztályba sorolta, és ennek megfelelően értesítést küldött a felhasználóknak a lehetséges veszélyről.
Upcoming Windows 11 builds will include a small reminder about system requirements atop System Settings in case your device doesn't meet them. pic.twitter.com/KZ4NkqB7wq
Az eddig választhatóan elérhető lehetőséget automatikusan működő funkcióvá teszi a Chrome böngészőben. A szoftver figyelmezteti a felhasználót, hogy ha az adott jelszavát hackerek megszerezték, és az az interneten is elérhető.
The Chrome logo is displayed at a Google event, Tuesday, Oct. 8, 2013 in New York. Google is introducing a $279 laptop that runs its Internet-centric Chrome operating system, borrowing many of the high-end features found in models that cost $1,000 or more. (AP Photo/Mark Lennihan)
A Password Checkup jelszóvizsgáló szolgáltatást idén tették bővítményként elérhetővé, vagyis telepíthető volt a Chrome-hoz. A szolgáltatás lényege, hogy a Google a felhasznált jelszót összeveti azokkal a nagy adatbázisokkal, melyek az ismert kompromittálódott jelszavakat tartalmazzák, és értesítik a felhasználót a kockázatról.Az ellenőrzés titkosított módon zajlik – a Google sem lát bele a folyamatba -, és azokra az azonosító/jelszó párosokra vonatkozik, melyeket elmentettek a böngészőben.
A Password Checkup bevezetése a szokásoknak megfelelően fokozatosan, lépcsőzetesen történik meg, de hamarosan mindenki számára elérhető lesz, aki bejelentkezve használja a böngészőt.
Androidon még tovább kell várni, mert mint ismert, a legutóbbi frissítéssel gondok akadtak, egyes alkalmazások adatai törlődtek, így egyenlőre leállították a folyamatot, míg ki nem javítják a hibát.
