[ Новые сообщения · Участники · Правила форума · Поиск по сайту · RSS ]

        
  • Страница 4 из 4
  • «
  • 1
  • 2
  • 3
  • 4
Модератор форума: KI@77, pavel2222, mars63-Гриня, PavelNew  
Форум Самарских кладоискателей » Обо всём » Курилка » о событиях в области защиты информации (преступления и наказние)
о событиях в области защиты информации
котДата: Пятница, 01.03.2019, 20:21:29 | Сообщение # 46
Добрый кот.
Группа: Проверенные
Сообщений: 8999
Металлодетектор: terra
Страна: Российская Федерация
Город: Cамара
Репутация: 2413
Статус: Тут его нет

Уязвимость в «умных» дверных звонках Ring позволяет подменить изображение с камеры

Компания Ring, специализирующаяся на разработке устройств для «умного» дома, устранила уязвимость в приложении для дверного звонка Ring Doorbell, с помощью которой злоумышленники могли взломать звонок и подменить изображение, транслируемое встроенной в устройство камерой. Проблема устранена в последней версии приложения Ring Doorbell (v.3.4.7), однако пользователи, не обновившие программу, по-прежнему находятся в зоне риска.

По словам специалистов Dojo By BullGuard, проблема заключается в отсутствии шифрования при передаче на приложение аудио и видео с камеры. В результате злоумышленники с доступом к той же сети Wi-Fi, где работает Ring Doorbell, могли перехватить трансляцию и подменить изображение с камеры звонка, чтобы убедить его владельца открыть дверь.

За последний год появилось несколько сообщений проблемах, связанных с устройствами Ring. К примеру, как стало известно в январе, начиная с 2016 года, компания Ring предоставляла сотрудникам своего украинского офиса практически неограниченный доступ к видео с камер, а в минувшем мае сообщалось, что звонки Ring не требуют новой авторизации после смены пользователем пароля.

Специалисты неоднократно выказывали обеспокоенность слабой защитой устройств из сферы «Интернета вещей». Для повышения уровня безопасности власти Калифорнии в минувшем году обязали производителей устройств, подключаемых к интернету, обеспечивать дополнительные меры защиты, предотвращающие возможность несанкционированного доступа. В середине февраля нынешнего года Технический комитет по кибербезопасности Европейского института телекоммуникационных стандартов опубликовал первый стандарт по обеспечению кибербезопасности потребительских устройств из категории «Интернета вещей».


- Что-нибудь запрещенное имеете?
- Да. Собственное мнение.

¡ иɯʎdʞ ин ʞɐʞ 'ɐнɔɐdʞǝdu qнεиЖ




 
котДата: Вторник, 12.03.2019, 23:19:51 | Сообщение # 47
Добрый кот.
Группа: Проверенные
Сообщений: 8999
Металлодетектор: terra
Страна: Российская Федерация
Город: Cамара
Репутация: 2413
Статус: Тут его нет

«Невзламываемые» противоугонные сигнализации развязывают руки угонщикам

Производители смарт-устройств должны запомнить: добавление к названию продукта эпитета «невзламываемый» еще не делает его таковым. Ярким примером являются «умные» противоугонные сигнализации от двух крупнейших производителей Viper и Pandora Car Alarm System, на деле оказавшиеся не такими уж «умными».

Специалисты компании Pen Test Partners протестировали противоугонные сигнализации Viper и Pandora Car Alarm System и пришли к неутешительным выводам. Компрометация систем позволяет не только похитить данные о транспортном средстве и его владельце, но также открыть автомобиль, отключить сигнализацию, скомпрометировать микрофоны, отключить иммобилайзер и отслеживать передвижение автомобиля. В некоторых случаях злоумышленники также могут вывести из строя мотор во время его работы и тем самым спровоцировать аварию, результаты которой могут оказаться фатальными.

И Viper, и Pandora Car Alarm System позиционируют свои противоугонные сигнализации как смарт-системы, а Viper еще и называет их «невзламываемыми» (сейчас это слово уже удалено с сайта производителя). Тем не менее, команде Pen Test Partners с легкостью удалось доказать обратное. Исследователи обнаружили в API систем простые и очевидные уязвимости, такие как незащищенные ресурсы и объекты (insecure direct object references, IDOR), позволившие им менять настройки, сбрасывать учетные данные пользователей, взламывать учетные записи и многое другое.

Как оказалось во время тестирования, Viper использует бэкенд-систему от сторонней компании CalAmp. Уязвимость в параметре API 'modify user' возникает из-за недостаточной проверки данных, благодаря чему атакующий может скомпрометировать учетную запись пользователя. Эта же уязвимость также позволяет скомпрометировать мотор автомобиля.

В случае с Pandora уязвимость IDOR связана с POST-запросами. Ее эксплуатация также может привести к компрометации учетной записи пользователя и утечке данных. Другой вектор атаки – функция вызова экстренной помощи. Работа функции обеспечивается за счет микрофонов, которыми оснащена система сигнализации. Однако из-за уязвимости в API злоумышленники могут удаленно подключиться к микрофону и использовать его для слежки за пользователями.

В связи с опасностью уязвимостей исследователи решили сократить 90-дневный срок, который обычно отводится производителям на выпуск исправления, и раскрыть подробности о своих находках уже через неделю. Надо отдать должное Viper и Pandora Car Alarm System, обе компании успели уложиться в срок.

https://www.pentestpartners.com/securit....-alarms


- Что-нибудь запрещенное имеете?
- Да. Собственное мнение.

¡ иɯʎdʞ ин ʞɐʞ 'ɐнɔɐdʞǝdu qнεиЖ




 
котДата: Вторник, 12.03.2019, 23:20:38 | Сообщение # 48
Добрый кот.
Группа: Проверенные
Сообщений: 8999
Металлодетектор: terra
Страна: Российская Федерация
Город: Cамара
Репутация: 2413
Статус: Тут его нет

Кардеры в США вооружились новой техникой кражи PIN-кодов

Во многих случаях вместе со скиммерами (устройствами для кражи данных с магнитной ленты банковской карты) преступники используют миниатюрные видеокамеры, снимающие PIN-код, вводимый жертвой на клавиатуре банкомата. Существует множество способов скрыть прикрепленную к банкомату камеру, но чаще всего злоумышленники маскируют ее под функцию безопасности.

Специализирующийся на теме кибрепреступности журналист Брайан Кребс рассказал об интересном случае, когда камера для съемки рук жертвы во время ввода PIN-кода располагалась непосредственно над камерой видеонаблюдения банкомата. Она была повернута под таким углом, чтобы как можно отчетливее снять набираемые на клавиатуре цифры. Камера была подсоединена к скиммеру, представлявшему собой тонкую металлическую пластину для установки в картоприемник.

Полиция города Херста (Техас, США) опубликовала снимок девушки за рулем Ford Expedition, которая устанавливала скиммер в один из банкоматов, позволяющих снимать наличные, не выходя из машины. Такие банкоматы обычно находятся слишком высоко или слишком низко по отношению к водителю, поэтому он не всегда может прикрыть вводимый код рукой. Тем не менее, Кребс настоятельно рекомендует это делать, чтобы обезопасить себя от кражи PIN-кода.

https://krebsonsecurity.com/2019....stealer


- Что-нибудь запрещенное имеете?
- Да. Собственное мнение.

¡ иɯʎdʞ ин ʞɐʞ 'ɐнɔɐdʞǝdu qнεиЖ




 
Форум Самарских кладоискателей » Обо всём » Курилка » о событиях в области защиты информации (преступления и наказние)
  • Страница 4 из 4
  • «
  • 1
  • 2
  • 3
  • 4
Поиск:


Кентавр   
Самарский портал кладоискателей
(оптимизированно под Opera) ©
2009-2019
20:18:05