四充涂璃、你不知道的网络安全威胁-图文信息中心

金沙澳门官网4166

  • <tr id="u92vykq8"><strong id="u92vykq8"></strong><small id="u92vykq8"></small><button id="u92vykq8"></button><li id="u92vykq8"><noscript id="u92vykq8"><big id="u92vykq8"></big><dt id="u92vykq8"></dt></noscript></li></tr><ol id="u92vykq8"><option id="u92vykq8"><table id="u92vykq8"><blockquote id="u92vykq8"><tbody id="u92vykq8"></tbody></blockquote></table></option></ol><u id="u92vykq8"></u><kbd id="u92vykq8"><kbd id="u92vykq8"></kbd></kbd>

    <code id="u92vykq8"><strong id="u92vykq8"></strong></code>

    <fieldset id="u92vykq8"></fieldset>
          <span id="u92vykq8"></span>

              <ins id="u92vykq8"></ins>
              <acronym id="u92vykq8"><em id="u92vykq8"></em><td id="u92vykq8"><div id="u92vykq8"></div></td></acronym><address id="u92vykq8"><big id="u92vykq8"><big id="u92vykq8"></big><legend id="u92vykq8"></legend></big></address>

              <i id="u92vykq8"><div id="u92vykq8"><ins id="u92vykq8"></ins></div></i>
              <i id="u92vykq8"></i>
            1. <dl id="u92vykq8"></dl>
              1. <blockquote id="u92vykq8"><q id="u92vykq8"><noscript id="u92vykq8"></noscript><dt id="u92vykq8"></dt></q></blockquote><noframes id="u92vykq8"><i id="u92vykq8"></i>
                信息安全

                四充涂璃、你不知道的网络安全威胁

                2016年09月19日 08:12  点击:[]

                (一)智能手表存安全隐患黑客可盗取密码

                http://tech.ifeng.com/a/20160707/41635196_0.shtml

                据《每日邮报》网络版报道从舍跌,可穿戴设备的安全性引发了新一轮担忧从舍跌,美国的研究人员称从舍跌,智能手表等穿戴产品存在泄露用户密码的风险岩认尚。

                美国宾汉姆顿大学托马斯-沃特森工程与应用科学学院计算机科学助理教授王彦(音译)表示从舍跌,攻击者可以复制用户手部的活动轨迹从舍跌,然后复原ATM机充涂璃、电子门锁以及由按键控制的企业服务器的登陆密码岩认尚。

                研究人员声称从舍跌,通过入侵可穿戴设备的运动传感器从舍跌,黑客可以搜集到足够的信息从舍跌,猜出用户输入的文字从舍跌,然后盗取ATM密码岩认尚。

                通过研究从舍跌,科学家将来自可穿戴产品(如智能手机和健康追踪系统)嵌入式传感器的数据从舍跌,与计算机算法相结合从舍跌,破解个人识别码(PIN)和密码从舍跌,第一次破解尝试的准确率达到80%从舍跌,三次以后的准确率超过90%岩认尚。

                “这种威胁是真实存在的从舍跌,尽管方法很复杂岩认尚。目前黑客已经实现了两种攻击手段:内部攻击和嗅探攻击岩认尚。在内部攻击中从舍跌,攻击者通过恶意软件从舍跌,进入戴在手腕上的可穿戴设备的嵌入式传感器岩认尚。”王彦说岩认尚。

                试验过程中从舍跌,研究人员要求20个成年人穿戴各种高科技设备从舍跌,在11个月的时间内利用三种基于密钥的安全系统从舍跌,进行了5000次密钥登陆测试从舍跌,其中包括ATM机岩认尚。这些测量数据可以帮助研究人员预估连续击键之间的距离和方向从舍跌,然后使用“反向PIN序列推导算法”来破解编码从舍跌,而且根本不需要有关按键的前后关系线索从舍跌,准确率很高岩认尚。

                王彦领导的研究小组表示从舍跌,当前他们处于发现可穿戴设备安全漏洞的早期阶段岩认尚。尽管可穿戴设备能够追踪健康和医疗活动从舍跌,但是这种设备的大小和计算能力从舍跌,让用户无法实现强大的安全措施从舍跌,这使得设备里面的数据更容易遭到攻击岩认尚。

                (二)无人机能够帮助黑客关闭电厂或其他基础设施

                http://mt.sohu.com/20160809/n463306623.shtml

                在去年乌克兰遭遇到的部分地区电网受黑客攻击事件当中从舍跌,地方当局曾经发动运营商对供电机制进行手动切换从舍跌,同时配合手机沟通进行协同岩认尚。然而从舍跌,如果攻击一方能够截断手机网络从舍跌,结果又会怎样——特别是在使用无人机的情况下?

                这虽然只是个假设从舍跌,但却极具现实可能性岩认尚。就在上周从舍跌,有安全研究人员在于拉斯维加斯召开的Black Hat黑帽大会上展示这一场景岩认尚。研究员Jeff Melrose同时警告称从舍跌,未来无人机将被用于支持及放大各类针对关键性基础设施的攻击活动岩认尚。

                利用无人机从舍跌,“所有现场类型的遥测及传感器攻击活动都将成为成本低廉且极易实现的手段从舍跌,”横河电机公司安全部门首席技术战略师Melrose在采访当中告诉我们岩认尚。“我能够利用数架无人机构建起基础的覆盖面积从舍跌,并保证身处这一范围内的受害者无法从其发电设施或者通信渠道处获得任何信息岩认尚。”

                “我可能身处5公里之外从舍跌,但该无人机能够直接深入到对方的电磁发射区边界以内岩认尚。”

                Melrose强调称从舍跌,无人机现在已经非常先进从舍跌,从而更轻松地飞行至人类难以徒步到达的位置岩认尚。一旦物理接近电力设施等重要位置从舍跌,黑客即可以利用无人机来堵塞网络充涂璃、阻止厂方运营者通过传感器获取信息从舍跌,或者是与现场工作人员的沟通能力岩认尚。

                全部必需的硬件只有一架消费级无人机从舍跌,例如大疆幻影4从舍跌,外加一款虽然违法但却能够轻松从网上购得的干扰器岩认尚。掌握这两台设备从舍跌,攻击者即能够监控无人机上的摄像头并借此接近目标位置的WiFi网络从舍跌,从而加入其中并造成潜在破坏乃至组织其它形式的攻击岩认尚。

                “无人机能够做到的就是充当一个中继点从舍跌,”Melrose表示岩认尚。“我可能身处5公里之外从舍跌,但该无人机能够直接深入到对方的电磁发射区边界以内岩认尚。这样我就能够立足于无人机这一中继实施破坏从舍跌,它相当于我在对方边界内安插的小马仔岩认尚。”

                这些都是理论层面可行的攻击手段岩认尚。就在上周从舍跌,研究人员在黑帽大会上演示如何利用一架价格为500美元的无人机——他们将其描述为一台“飞行黑客笔记本”——入侵难以抵达的网络位置岩认尚。

                作为一名控制系统工程师兼顾问从舍跌,Michael Toecker表示Melrose提及的场景“完全具备可行性”从舍跌,并指出工业设施管理员们“应当着眼于自身安全度量方案从舍跌,从而将禁止接近的对象由‘个人’转换为‘飞行中的无人机’岩认尚。”

                “当安全人员对自己的无线电信号漏洞进行检查时从舍跌,他们需要假设攻击者一方可能无需翻越围栏充涂璃、躲避视频监控充涂璃、攀爬塔楼以接近发射装置位置从舍跌,”Toecker告诉我们岩认尚。“因此从舍跌,如果单纯因为难以接近而放弃采用强大的通信加密机制从舍跌,那么这类通信方式将很容易被对方所入侵岩认尚。因为无人机能够直接飞行至目标区域从舍跌,并利用板载无线电装置以避开全部物理保护岩认尚。”

                在未来从舍跌,黑客们可能会利用无人机达到更多以往难以触及的区域岩认尚。虽然这一结论在很大程度上还仅仅属于猜测从舍跌,但我们无疑应当率先做好准备岩认尚。

                换句话来说从舍跌,正如Melrose撰文称从舍跌,负责关键性基础设施保护工作的人员也许是时候“将物理安全机制带入二十一世纪”了岩认尚。

                (三)黑客能黑进显示器窃取数据从舍跌,篡改显示信息

                http://mt.sohu.com/20160808/n463115025.shtml

                我们将显示器视为被动实体岩认尚。计算机向显示器发送数据从舍跌,它们如同魔术师般转化为生成文字和图片的像素岩认尚。

                但如果黑客可以黑进显示器会如何?

                事实证明从舍跌,确实有可能岩认尚。一组研究人员发现在不需要进入实际电脑的情况下从舍跌,直接入侵控制显示器的微型计算机从舍跌,从而查看显示器上显示的像素—暗中监视—并控制像素显示不同的图像岩认尚。

                经过长达两年的研究充涂璃、反向工程充涂璃、在控制显示器和固件的处理器上实验从舍跌,Red Balloon的安全研究人员发现在不入侵计算机的情况下便可黑进显示器岩认尚。

                在DEF CON黑客大会上从舍跌,Red Balloon的首席科学家Ang Cui博士以及首席研究科学家Jatin Kataria演示了“黑暗显示器:反向与利用现代显示器中无所不在的屏幕显示控制器(A Monitor Darkly: Reversing and Exploiting Ubiquitous On-Screen-Display Controllers in Modern Monitors)”岩认尚。这两名科学家将Monitor Darkly的概念验证代码和REcon 0xA演示发布在GitHub上从舍跌,链接地址:http://github.com/redballoonshenanigans/monitordarkly

                本周早些时候从舍跌,Cui及同事在Red Balloon位于纽约市的办公室进行了演示从舍跌,展示他们如何黑进显示器岩认尚。从本质上而言从舍跌,如果黑客能让你访问恶意网站或点击网络钓鱼链接从舍跌,他们然后能以显示器的嵌入计算机为目标从舍跌,尤其是固件实施攻击岩认尚。

                黑客之后可以植入程序以便进步一获取指令岩认尚。然后从舍跌,黑客可以与植入程序通信从舍跌,这种做法相当精明岩认尚。植入程序等待通过闪烁像素发送的命令(可能包含在任何视频或网站内)岩认尚。基本上从舍跌,这个像素上传代码至显示器岩认尚。从这一点可以看出从舍跌,黑客能扰乱显示器岩认尚。

                通过利用被黑进的显示器从舍跌,他们可以控制像素并通过URL添加安全锁图标从舍跌,可以将PayPal账户余额从0美元修改显示为十亿美元从舍跌,还可以将发电厂控制界面的警报状态从绿色改为红色岩认尚。

                该研究小组先将Dell U2410显示器拆解从舍跌,最终找出如何改变屏幕像素的方法岩认尚。他们发现固件存在安全隐患岩认尚。攻击者会需要通过HDMI或USB端口访问显示器从舍跌,但之后显示器将被劫持岩认尚。这种情况听起来像勒索软件从舍跌,不让用户查看显示器上显示的信息从舍跌,除非愿意缴纳赎金岩认尚。

                研究人员强调从舍跌,不只Dell显示器存在漏洞岩认尚。在演示文稿中从舍跌,许多显示器被黑岩认尚。他们确定从舍跌,包括宏碁充涂璃、惠普和三星在内的品牌易受无法检测的固件攻击岩认尚。

                实际上从舍跌,Cui表示从舍跌,该漏洞可用来暗中监视从舍跌,也能显示实际上不存在的内容岩认尚。如果黑客胡乱操纵控制发电厂的显示器从舍跌,也许制造一个虚假紧急情况从舍跌,造成严重后果岩认尚。

                如果你有显示器从舍跌,就可能受影响”

                研究人员警告称从舍跌,该漏洞可能潜在影响十亿台显示器从舍跌,因为市场上最常见的品牌都包含易受攻击的处理器岩认尚。

                有更简单的方法同时诱骗大量用户并在显示器上显示不真实的内容从舍跌,比如在无线热点安装Newstweek设备岩认尚。远程攻击者可用来操纵热点中所有人的信息岩认尚。

                尽管如此从舍跌,对我们大多数在工作场所或家里使用的显示器而言从舍跌,显示不正确信息的情况不太可能发生岩认尚。如果攻击者能访问许多显示器从舍跌,然后会同时影响大量用户从舍跌,比如在股票交易者用来的显示器上显示伪造信息岩认尚。

                顽固的攻击者能利用显示器主动监视用户的所有行为从舍跌,甚至会窃取数据岩认尚。

                Cui表示从舍跌,:但是从舍跌,这不是简单的入侵行为岩认尚。至于此类攻击的实用性?他称:“我们不需要任何特权访问电脑执行这类攻击岩认尚。”当谈及修复的现实可能性时从舍跌,Cui表示从舍跌,不是那么容易的事从舍跌,未来如何构建更安全的显示器从舍跌,我们无从得知岩认尚。

                这类攻击从舍跌,有一个缺点从舍跌,那就是加载缓慢从舍跌,因此也许不是快速控制受害者计算机最有效的方法岩认尚。但如果黑客的目标是工业控制系统显示器从舍跌,不会是什么问题从舍跌,因为这些显示器大多为静态岩认尚。

                对于Cui而言从舍跌,在任何情况下从舍跌,研究的目的是为了展示可能性从舍跌,让人们了解显示器并非牢不可破岩认尚。

                Cui总结道从舍跌,“我们现如今生活的世界从舍跌,连显示器都无法信任岩认尚。”

                (四)黑客能控制Jeep汽车方向盘和刹车

                http://www.wtoutiao.com/p/2f7jScz.html

                E安全8月3日讯 随着万物互联的智能时代快速走来从舍跌,关于汽车的安全漏洞却层出不穷岩认尚。正在美国拉斯维加斯召开的2016黑帽大会上从舍跌,针对汽车安全的话题自然也吸引到众多与会者的重点关注岩认尚。

                黑客Charlie Miller和Chris Valasek再次入侵了2014款的Jeep吉普切诺基从舍跌,这次是通过物理连接笔记本电脑操纵方向盘并控制刹车岩认尚。

                这两名黑客本周将在拉斯维加斯举办的Blackhat黑帽大会上通过视频演示概念岩认尚。为了成功入侵切诺基从舍跌,攻击者必须在现场进行操作岩认尚。但是从舍跌,Miller证实称从舍跌,能通过使用包含自动和定时命令的隐藏设备进行攻击从舍跌,或通过无线连接实施远程攻击岩认尚。

                Miller表示从舍跌,这种攻击最有可能被当成实施有针对性充涂璃、过度设计的攻击载体岩认尚。

                这种限局性的攻击类似其它CAN(汽车控制器局域网络)总线攻击从舍跌,研究人员解除锁定充涂璃、操控方向盘与刹车岩认尚。

                入侵CAN总线具有合法用途:比如从舍跌,促使产品制造企业接入端口向司机显示详细的油耗和发动机数据岩认尚。

                在其中一个概念验证视频中从舍跌,Miller坐在切诺基的后排从舍跌,用一根导线将他的笔记本电脑连向CAN总线岩认尚。

                Valasek在麦田公路慢速巡航从舍跌,直到Miller将方向盘向右锁定为90度从舍跌,使其偏离轨道岩认尚。

                这两人去年远程入侵吉普车从舍跌,虽然车载系统经过修复从舍跌,但这种攻击仍对其有影响岩认尚。

                他们攻击了这辆吉普的电子控制单元从舍跌,通过将其中一个单元设置为维护模式并使用另一个单元发送假命令从而禁用电子控制单元岩认尚。同时还能设置巡航控制速度从舍跌,但司机能通过踩刹车控制车辆岩认尚。

                CharlieMiller和Chris Valasek称他们写了一篇论文从舍跌,将在黑帽大会上亮相岩认尚。论文中从舍跌,他们推荐汽车制造商如何更好锁定CAN总线岩认尚。为了帮助汽车制造商从舍跌,这两名黑客已构建了一个入侵检测系统从舍跌,便于检测攻击岩认尚。

                当前从舍跌,鉴于智能汽车系统的快速发展从舍跌,加上CAN总线协议在部署难度充涂璃、通信速率充涂璃、性价比等方面上优势特色从舍跌,已成为目前汽车领域中应用最为广泛的国际标准协议之一从舍跌,全球各大车企都纷纷采用CAN总线来实现汽车内部控制系统与各检测和执行部件间的数据通信岩认尚。因此从舍跌,也为考察和校验其安全提供了必要性岩认尚。

                不过从舍跌,通过视频可以发现从舍跌,目前汽车厂商对于CAN总线协议的安全问题明显还认识不足岩认尚。为此从舍跌,两人也表示现在正协助汽车制造商一起从舍跌,构建一套针对CAN总线攻击的入侵检测系统从舍跌,来进一步强化其安全性从舍跌,更多的技术细节也会在2016黑帽大会上公布岩认尚。

                (五)黑客尝试入侵酒店客房与POS系统

                http://it.sohu.com/20160803/n462437962.shtml

                E安全8月3日讯来自Rapid7公司的安全研究人员Weston Hecker开发出一款成本仅为6美元的工具从舍跌,但其足以开启酒店房门及攻克销售点系统岩认尚。

                相信没人指望酒店的电子锁能挡得住黑客们的入侵——但真正令人惊讶的是从舍跌,技术人员仅使用一款成本为6美元的工具就完成了这一目标岩认尚。

                来自Rapid7公司的安全研究人员Weston Hecker打造出一款成本极低的小型设备从舍跌,可用于开启各类酒店房门岩认尚。

                这款设备只有一张磁卡大小从舍跌,亦可用于入侵销售点系统与现金出纳机岩认尚。

                去年从舍跌,知名黑客Samy Kamkar设计出一款名为MagSpoof的工具从舍跌,这款成本低廉的小工具(成本为10美元)能够预测并存储数百张美国运通(AMEX)信用卡信息从舍跌,并利用其进行无线交易岩认尚。这款小工具实际上是一款信用卡/磁卡欺诈装置从舍跌,这套包含有微控制器充涂璃、驱动马达充涂璃、电线充涂璃、电阻器充涂璃、开关充涂璃、LED以及一块电池的设备还适用于有线支付终端岩认尚。

                现在从舍跌,Weston Hecker对Kamkar的MagSpoof做出了进一步改进从舍跌,事实上这款成本仅为6美元的新工具能够直接读取并复制电子钥匙岩认尚。该工具还可以针对门锁发动“暴力破解”攻击从舍跌,从而顺利开启房门岩认尚。

                攻击者可以利用此工具访问酒店客房钥匙中的信息从舍跌,具体包括对开数编码输出结果充涂璃、酒店房间号以及结账日期等等岩认尚。

                黑客可以将该工具靠近读卡装置从舍跌,并利用以上信息的任意组合进行暴力破解岩认尚。这款工具速度极快从舍跌,每分钟可以进行48次钥匙组合猜测岩认尚。

                “在此之后从舍跌,他会了解到钥匙副本中有哪些数据字段需要猜测从舍跌,”《福布斯》杂志的Thomas Fox-Brewster写道岩认尚。

                “黑客随后可以前往某间酒店客房从舍跌,手持Hecker的工具贴近读卡装置从舍跌,并运行由上述细节信息组成的密钥组合尝试从舍跌,直到试出正确的组合(即密钥)岩认尚。”

                这款设备之所以速度极快从舍跌,是因为与Kamkar设计的原始工具相比从舍跌,其可利用多条天线以负载均衡方式实现并发工作岩认尚。

                “可以将其视为一种负载均衡机制从舍跌,”Hecker在接受《福布斯》杂志采访时解释称岩认尚。“当一根天线过热从舍跌,其即会转移至另一根天线岩认尚。”

                这台设备可用于入侵销售点系统(即PoS机)从舍跌,并可通过磁条读取装置注入键盘敲击内容岩认尚。

                Weston Hecker本周将在拉斯维加斯举行的DefCon大会上演示该设备岩认尚。

                (六)黑客利用木马窃取数据从舍跌,受害者被迫沦为“傀儡”

                http://toutiao.com/i6308920137684615682/

                E安全7月19日讯从舍跌,近期出现一款新型木马从舍跌,专门收集目标受害者信息从舍跌,黑客便以此勒索受害者为其行事岩认尚。组织机构需防范内部威胁岩认尚。

                威胁情报公司Diskin Advanced Technologies(以下简称DAT)发现一款名为“Delilah”的恶意软件从舍跌,这款软件大概参照圣经人物—主要针对地下网络犯罪岩认尚。非公开的黑客组织间共享此软件岩认尚。

                Gartner著名分析师Avivah Litan表示从舍跌,访问并尝试从某些特定成人与游戏网站下载的用户会受此木马感染岩认尚。

                一旦安装从舍跌,该恶意软件会收集目标受害者的个人信息从舍跌,包括家庭和工作场所信息岩认尚。同时还部署插件让黑客远程打开受害者的网络摄像头并进行记录岩认尚。黑客利用窃取的信息操纵受害者岩认尚。

                Litan在博文中解释道从舍跌,“根据DAT所述从舍跌,黑客给受害者下达的指示通常包括使用VPN服务充涂璃、TOR以及删除浏览历史(可能为了移除审查跟踪)岩认尚。”

                “这种木马程序还要求高水平人工参与识别并优先确定勒索对象作为内部人员攻击目标机构岩认尚。如果缺乏这些特定技能从舍跌,想使用该木马的罪犯还能获取托管的社会工程和欺诈服务岩认尚。”

                很明显从舍跌,该木马尚未完善从舍跌,当使用网络摄像头间谍功能时会报错并导致画面冻结岩认尚。

                Litan认为需要更多VPN和TOR活动更好了解此威胁性质岩认尚。她还补充道从舍跌,IT安全小组应该封锁某些危险网站降低风险岩认尚。

                Litan总结道:“有了像Delilah这样的木马从舍跌,组织机构应该期望内部招募进一步快速升级岩认尚。这只会让内部威胁数量不断增加从舍跌,因为心怀不满的员工为了伤害雇主会在暗网出售服务岩认尚。”

                2015年12月卡巴斯基实验室的研究指出从舍跌,近四分之三的公司已遭受内部威胁事件岩认尚。

                (七)语音验证有漏洞 黑客每年可从充涂璃、Facebook和微软盗窃数百万欧元

                http://tech.hnr.cn/archives/view-125468-1.html

                原创2016-07-18 E安全E安全

                E安全7月18日讯 比利时安全研究员Arne Swinnen发现通过双因素语音验证系统一年能从Facebook充涂璃、和Microsoft公司盗窃数百万欧元岩认尚。

                许多部署双因素认证(2FA)的公司通过短信息服务向用户发送验证码岩认尚。如果选择语音验证码从舍跌,用户会接收到这些公司的语音电话从舍跌,由机器人操作员大声念出验证码岩认尚。

                接收电话通常为与这些特定账户绑定的电话号码岩认尚。

                从理论上讲从舍跌,攻击者还可以攻击其它公司

                Swinnen通过实验发现从舍跌,他可以创建Instagram充涂璃、以及Microsoft Office 365账号从舍跌,然后与高费率(premium)电话号码绑定也不是常规号码岩认尚。

                当其中这三个公司向账户绑定的高费率电话号码提供验证码时从舍跌,高费率号码将登记来电通话并向这些公司开具账单岩认尚。

                Swinnen认为从舍跌,攻击者可以创建高费率电话服务和假Instagram充涂璃、或Microsoft账号从舍跌,并绑定岩认尚。

                Swinnen表示从舍跌,攻击者能通过自动化脚本为所有账号申请双因素验证许可从舍跌,将合法电话呼叫绑定至自己的服务并赚取可观利润岩认尚。

                攻击者可赚取暴利

                根据Swinnen计算统计从舍跌,从理论上讲从舍跌,每年可以从Instagram赚取206.6万欧元从舍跌, 43.2万欧元从舍跌,以及Microsoft 66.9万欧元岩认尚。

                Swinnen通过漏洞报告奖励计划向这三家公司报告了攻击存在的可能性岩认尚。Facebook给予他2000美元的奖励从舍跌,Microsoft的奖励金额为500美元从舍跌,在“Hall of Fame”(名人堂)中提及他岩认尚。

                Arne Swinnen先前还发现了Facebook的账户入侵漏洞从舍跌,并帮助Instagram修复登录机制从舍跌,防止多种新型蛮力攻击岩认尚。

                (八)黑客们盗取联网车辆的六种高科技手段

                http://mt.sohu.com/20160714/n459249597.shtml

                E安全7月14日讯未来从舍跌,您的爱车将不仅仅作为交通工具存在从舍跌,但其中更为丰富的信息也会吸引到更多犯罪分子岩认尚。

                奔驰在互联网高速公路上

                我们的车辆包含有多种重要的个人信息从舍跌,例如通讯录充涂璃、登记以及保险等等从舍跌,甚至包括财务数据乃至家庭住址等等岩认尚。一旦这些信息被攻击者获取从舍跌,那么更多危害后果或将接踵而来岩认尚。

                伴随着更多高精尖技术的涌现从舍跌,车辆盗窃活动本身也发生了转变岩认尚。目前的车辆虽然更智能也更易于同网络对接从舍跌,但这也给攻击者们留下可乘之机——而他们正是所谓“联网车辆窃贼”岩认尚。作为针对此类状况提供恢复与高级车队管理解决方案的厂商从舍跌,LoJack公司提供了以下新时代窃贼们最为惯用的技术手段岩认尚。

                01

                车辆克隆

                “车辆克隆”是一种新型先进盗车手段从舍跌,经验丰富的贼人能够为目标车辆创建并安装一条伪造的车辆身份编号(即VIN)从舍跌,从而获得控制权岩认尚。这种方法用于盗取高端豪车从舍跌,并将其神不知鬼不觉地转卖到海外市场岩认尚。黑客随后可利用盗取的VIN变更车主信息从舍跌,或者伪造新文档以隐藏车辆的真实身份岩认尚。

                02

                车辆赎金

                目前勒索软件正在大行其道从舍跌,这类攻击活动利用恶意软件对数字数据进行加密从舍跌,并要求受害者支付赎金以完成信息解绑岩认尚。由于联网车辆开始逐步充当活动热点的角色从舍跌,黑客会经由WiFi热点入侵车辆并完成“绑架”活动岩认尚。举例来说从舍跌,不久的未来他们能够轻松侵入车辆从舍跌,禁用发动机及制动器从舍跌,并要求车主支付比特币以赎回对车辆的使用权岩认尚。

                03

                利用扫描设备作为智能钥匙

                联网车辆盗贼开始利用扫描设备从舍跌,或者那些能够可作为智能钥匙的装置完成自己的罪恶目标岩认尚。这些攻击者们可借此完成车辆解锁充涂璃、启动从舍跌,且过程中无需触碰任何实体按键岩认尚。一旦智能钥匙与扫描设备间的距离缩小到一定程度从舍跌,其传输信息即会被破解岩认尚。目前这个问题在美国已经得到高度重视岩认尚。

                04

                盗窃团伙瞄准豪华车型

                根据LoJack公司发布的2015年车辆恢复报告所指出从舍跌,目前窃贼们越来越多地以团伙形式行动从舍跌,并将目标设定为价格高昂豪华车身上岩认尚。他们随后将其拆分为零件充涂璃、重新销售甚至是发往海外岩认尚。这些豪华车型的价格普遍超过3万美元从舍跌,而2015年遭窃情况最严重的高端车型包括路虎揽胜充涂璃、福特F系列以及宝马X系列等等岩认尚。这些盗窃团伙经常利用复杂的方案从舍跌,例如获取并复制智能钥匙从舍跌,实施偷盗从舍跌,并使用偷来的信用卡与假身份进行车辆二次销售岩认尚。

                05

                远程劫持

                远程劫持在去年着实火了一把从舍跌,人们亲眼见证了吉普切诺基是如何被攻击者通过互联网所控制的岩认尚。目前地点导航及内置GPS在很多现代车型上已经非常普遍从舍跌,而其实现基础全部为连接电信网络岩认尚。但这样一来从舍跌,网络攻击活动就有可能影响到此类车辆从舍跌,甚至彻底接管其导航系统岩认尚。

                06

                数据引发身份盗用

                时至今日从舍跌,联网车辆中包含的信息及个人数据远超以往从舍跌,这意味着我们正面临着更为严重的身份被盗威胁岩认尚。盗贼不仅想要我们的车从舍跌,更想要我们的“人”(身份)岩认尚。信用卡信息充涂璃、身份证号码充涂璃、驾照信息等一旦泄露从舍跌,我们的网络账户将很可能被其全面盗用岩认尚。

                (九)黑客可通过宝马门户网站漏洞篡改BMW车辆的设置

                http://toutiao.com/i6304784625126343170/

                E安全7月8日讯 宝马ConnectedDrive门户网站存在的两大漏洞可以让攻击者原创操纵与宝马信息娱乐系统有关的车辆设置岩认尚。

                ConnectedDrive从舍跌,德国BMW公司于2006年联手公司开发的“联网驾驶”服务从舍跌,也是宝马车载信息娱乐系统的名称岩认尚。该系统可以在车内使用从舍跌,或可以通过一系列连接的移动应用程序让司机通过移动设备管理车辆设置岩认尚。除了移动应用程序从舍跌,该服务还有网页版岩认尚。

                Vulnerability Lab的安全研究人员Benjamin Kunz Mejri昨日公布ConnectedDrive门户存在的两个零日漏洞从舍跌,宝马过去5个月未对这两大漏洞进行修复岩认尚。

                漏洞#1:VIN会话劫持

                会话漏洞允许用户访问另一用户的VIN—车辆识别代码岩认尚。

                VIN是每个用户帐号的车辆ID岩认尚。VIN码备份车辆ConnectedDrive设置到用户的帐号岩认尚。在门户网站更改这些设备将更改车载设置以及附带应用程序岩认尚。

                Mejri表示从舍跌,他可以绕过VIN会话验证并使用另一VIN访问并修改另一用户的车辆设置岩认尚。

                ConnectedDrive门户的设置包括锁定/解锁车辆从舍跌,管理歌曲播放列表充涂璃、访问电子邮件账号充涂璃、管理路由充涂璃、获取实时交通信息等岩认尚。

                漏洞#2: ConnectedDrive门户的XSS

                第二个漏洞就是门户密码重置页面存在XSS(跨站脚本)漏洞岩认尚。

                这个XSS漏洞可能带来网络攻击从舍跌,比如浏览器cookie获取充涂璃、后续跨站请求伪造(Cross-site request forgery从舍跌,缩写CSRF)充涂璃、钓鱼攻击等岩认尚。

                Mejri声称从舍跌,他2016年2月向BMW报告了两大漏洞岩认尚。由于宝马没有及时回应Mejri的漏洞报告从舍跌,于是Mejri将漏洞公开岩认尚。

                差不多一年前从舍跌,安全研究员Samy Kamkar揭露从舍跌,OwnStar汽车黑客工具包攻击过宝马远程服务岩认尚。

                上一条:五充涂璃、图解:网络安全大形势 下一条:三充涂璃、网络安全多重要从舍跌,你不能不知道

                关闭

                分享到
                友情链接