5月17日,據報道,近期信息安全研究人員展示了,通過特斯拉車主的無鑰匙進入系統侵入車輛,并且在10秒鐘內可以開走車輛。
英國信息安全公司NCC集團首席安全顧問蘇爾坦·汗(Sultan Qasim Khan)表示,通過重定向車主手機或鑰匙卡與汽車之間的通信,外部人員就可以欺騙系統,使系統認為車主就位于車輛附近,從而讓竊賊可以解鎖汽車。這種攻擊方式對特斯拉Model 3和Model Y有效。
他還解釋道:這種攻擊方式并不只是針對特斯拉汽車,但他使用一輛特斯拉汽車進行了演示。
在演示中,蘇爾坦·汗進行了所謂的“中繼攻擊”。在這種攻擊方式中,黑客使用兩個可以轉發通信的小型硬件設備。
為了解鎖汽車,他在距離特斯拉車主智能手機或鑰匙卡不到15米的范圍內放置了一個中繼設備,并將第二個設備插入放在汽車附近的他自己的筆記本電腦。
這種攻擊方式利用了他為藍牙開發套件設計的訂制程序,這些套件在網上的售價不到50美元。
除訂制的軟件之外,所需的硬件成本總共約為100美元,也可以很容易地在網上買到。蘇爾坦·汗表示,在成功設置中繼設備后,攻擊只需要“10秒鐘”就能完成。
他說:“攻擊者可以在晚上走到某人家門口。如果車主的手機在家里,他的汽車停在門外,那么就可以利用這種攻擊方式來解鎖和發動汽車。如果設備安裝在鑰匙卡或手機附近,攻擊者還可以從全球各地去發送指令。”
目前還沒有證據表明,竊賊已經利用這種攻擊方式進入過特斯拉汽車。特斯拉尚未對此做出評論。
來源:快科技
IT之家 3 月 25 日消息,Pwn2Own 2023 目前正在溫哥華進行,來自全球各個國家和地區的安全專家大展神通。在開幕首日,安全專家利用尚未發現的零日漏洞或者漏洞組合,已成功攻破 Win11、macOS 等系統。
Haboob SA 的 Abdul Aziz Hariri 利用漏洞鏈,成功從 macOS 的沙盒中逃脫,并繞過 API 黑名單實現入侵。他的這項發現贏得了 5 萬美元(IT之家備注:當前約 34.4 萬元人民幣)的賞金。
STAR Labs 團隊通過一個零日漏洞鏈成功入侵 SharePoint,獲得了 10 萬美元(IT之家備注:當前約 68.7 萬元人民幣)賞金。該團隊由于發現了 Ubuntu 的另一個漏洞,額外獲得了 1.5 萬美元(IT之家備注:當前約 10.3 萬元人民幣)賞金。
安全專家通過執行 time-of-check to time-of-use(TOCTOU)攻擊,成功入侵了一輛特斯拉 Model 3,獲得了 10 萬美元(IT之家備注:當前約 68.7 萬元人民幣)的賞金。該團隊也利用 TOCTOU 方式入侵 macOS,獲得了 4 萬美元(IT之家備注:當前約 27.5 萬元人民幣)賞金。
Marcin Wi?zowski 利用輸入驗證零日漏洞提升了 Win11 的權限,從而獲得了 3 萬美元(IT之家備注:當前約 20.6 萬元人民幣)的獎金。