三只松鼠发布2022年年报 “品销合一”电商新战略发力
炒股就看金麒麟分析师研报,权威,专业,及时,全面,助您挖掘潜力主题机会! 转自:中国证券报 坚果行业领军企业三只松鼠日前发布2022年度业绩报告及2...
2023-04-27
4.远程关闭汽车引擎。
我们发现我们可以关掉汽车的引擎。除了使用移动应用程序中的帐户来接管漏洞,我们还可以关闭任何带有这些警报的汽车的发动机。这个漏洞不存在于移动应用UI中,而存在于API中。
这对人身安全造成了非常严重的影响,汽车在高速公路上行驶发生的事故都有可能是恶意攻击造成的。
报警器可以发出SOS呼叫,安装麦克风也是为了实现这一点。由于API中的授权缺陷,可以远程访问和启用麦克风。
因此,所有装有警报器的汽车司机的讲话都能听到。
并可以发送定制CAN消息。
近年来,汽车报警器可以直接与CAN连接,鉴于现代车辆的复杂性,这是非常必要的。它还有助于减少报警器的布线和所需的安装。时间高端报警器可以自动检测它们正在安装的车辆类型,并为它们正在使用的CAN消息定制它们的命令集。
然而,当警报没有正确识别车辆时,安装者将需要手动设置警报。根据我们的研究,报警编程必须通过使用笔记本电脑应用程序或使用蓝牙移动应用程序在本地完成。虽然看起来有一些通过API无线编程的方法,但是没有文档,我们也没有完全逆向工程。
在分析了固件、手册和相关的更改日志后,我们发现了一些可怕的功能。
如果你拥有一辆带有相关报警的车辆,比如马自达6、揽胜运动版、起亚、丰田、三菱帕杰罗、丰田普锐斯50、rav 4——这些都说明报警API存在漏洞,可以远程调节巡航速度!
停止/启动功能的一些变通办法也可能发送错误的制动踏板信息,以模拟驾驶员踩下踏板并启动车辆。
我们已经看到,IDOR在很多情况下可以用在物联网API中。这是我们第一次看到这种规模的潜在攻击。
这些报价都比较贵,而且一般都适合高端车,一般都是无钥匙操作的。保守估计显示,价值1500亿美元的车辆已经暴露。
这些警报没有增加任何额外的安全措施来防止关键的中继攻击,在它们被修复之前,它们实际上暴露了业主的额外攻击,危及他们的生命。
版权声明:本文内容由互联网用户自发贡献,本站不拥有所有权,不承担相关法律责任。如果发现本站有涉嫌抄袭的内容,欢迎发送邮件举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。
相关文章
炒股就看金麒麟分析师研报,权威,专业,及时,全面,助您挖掘潜力主题机会! 转自:中国证券报 坚果行业领军企业三只松鼠日前发布2022年度业绩报告及2...
2023-04-27
美国科技巨头微软(MSFT.US)截至3月份的第三财季利润和销售额双双超出分析师预期,得益于人工智能对业绩的推动,华尔街大行的分析师们纷纷对微软的业绩表示赞赏,...
2023-04-26
4月26日开盘,“预制菜第一股”味知香(SH605089,股价61.08元,市值61.08亿元)股价迅速走低,盘中一度触及跌停,市值较最高点已经跌去约55....
2023-04-26
4月25日,美国消费者金融保护局、司法部、联邦贸易委员会等部门官员警告金融公司和其他机构,使用人工智能(AI)会增加偏见和侵犯公民权利的风险,并表示正在监管...
2023-04-26
评论