十年未被发现!现代汽车曝重大安全漏洞,黑客可远程解锁、启动汽车;安装量达 1500 万,这些诈骗软件专门针对发展中国家
2022-12-4 09:29:51 Author: mp.weixin.qq.com(查看原文) 阅读量:15 收藏

现代汽车曝重大安全漏洞,

黑客可远程解锁、启动汽车

据cybernews消息,现代汽车APP存在一个重大安全漏洞。利用这个漏洞,黑客可以远程解锁、启动汽车。更令业界感到惊讶的是,这个漏洞已经存在了10年之久,影响了自2012年生产的现代汽车,以及旗下高端品牌捷尼赛思汽车。但现代汽车发布公告称,该漏洞并未被广泛利用。

这两个APP的名称是MyHyundai 和 MyGenesis,允许经过身份验证的用户启动、停止、锁定和解锁他们的车辆,可进一步提升车主的使用体验。

根据网络安全研究人员Sam Curry的说法,原本现代和捷尼赛思汽车的APP仅向授权用户提供车辆的控制权限,但是,该APP与授权服务器的通信之间存在一个严重的安全漏洞,导致攻击者可以轻易取得相应的权限。
Sam Curry在社交平台发文称,“我们注意到服务器不要求用户确认他们的电子邮件地址,此外还有一个非常松散的正则表达式,允许在您的电子邮件中使用控制字符。”

在深入研究绕过身份验证的可能方法后,Sam Curry和他的团队发现,在注册过程中,只需要在现有受害者电子邮件的末尾添加CRLF字符,攻击者就可以使用现有的电子邮件注册一个新帐户。
而这个新帐户将获得一个JSON网络令牌 (JWT),该令牌与服务器中的合法电子邮件相匹配,从而授予攻击者对目标车辆的访问权限。
Sam Curry发布消息称,“我们目前在确认,是否可以使用被篡改的 JWT 执行解锁或启动汽车等实际操作,如果真的可以做到这一点,那么将有可能全面接管所有远程启动的现代汽车和捷尼赛思汽车。

随后,有安全研究人员利用他们手里的一辆现代汽车来测试该漏洞。最终结果显示,使用受害者的电子邮件地址并添加 CRLF 字符,就可以让他们远程解锁链接了相应电子邮件地址的车辆。
有消息称,某些黑客团队也盯上了这个漏洞,甚至开发了一个python 脚本,只需要获取受害者的电子邮件地址,即可执行车辆上的所有命令,甚至接管车主的帐户。
目前,该漏洞已经报告给现代汽车公司,并且已经得到修复。在发布的公告中,现代汽车表示,经过调查后并未发现该漏洞被黑客利用了。
现代声称该公司调查了这个问题,并没有发现该漏洞在野外被利用,并强调利用该漏洞条件苛刻,“需要知道与特定现代汽车帐户和车辆相关的电子邮件地址,以及研究人员使用的特定网络脚本。”
而这似乎与目前不少安全人员发布的内容不太相符。
Yuga Labs公司的分析师称,只需要知道目标车辆识别号 (VIN),就有可能向端点发送伪造的 HTTP 请求,从而顺利利用该漏洞。
在实际情况中,车辆VIN 很容易在停放的汽车上获取,通常在仪表板与挡风玻璃相接的板上可见,攻击者可以轻松访问它。这些识别号码也可以在专门的汽车销售网站上找到,供潜在买家查看车辆的历史记录。
近年来,智能汽车产业正处于快速发展期,越来越多的安全专家们也开始将研究重点放在汽车攻击领域,发现了不少重量级汽车网络安全漏洞,包括远程解锁、启动、停止车辆等,成功向外界展示,攻击者是如何破坏车辆中的各种组件,涉及多个主流汽车品牌。
也正因为如此,汽车厂商们应进一步加大对网络安全的重视程度,并真切投入资源改善这种不安去的状况。汽车作为一个私密、封闭的个人空间,其安全性的重要性毋庸置疑,也是车主们选择汽车的重要衡量因素。
参考来源:https://cybernews.com/news/hyundai-bug-allows-unlocking-car-remotely/

安装量达 1500 万,这些诈骗软件专门针对发展中国家


Google Play 和 Apple App Store 上的 280 多个 Android 和 iOS 应用程序以具有欺诈性的条款使用户陷入贷款漩涡,并采用各种方法对借款人进行勒索和骚扰。

为了实现该行为的勒索企图,这些应用程序从手机中窃取了通常贷款不需要提供的大量隐私数据。

在网络安全公司Lookout的一份新报告中,研究人员发现了251个安卓35个iOS的借贷应用,这些应用的下载量合计达1500万次,主要来自印度、哥伦比亚、墨西哥、尼日利亚、泰国、菲律宾和乌干达的用户。

Lookout向谷歌和苹果报告了所有这些应用的情况,并成功地将它们全部删除。

 欺诈性贷款应用程序 

这些贷款应用程序在发展中国家取得了巨大的收益,因为这些国家的金融机制问题,欺诈行为的报告不太可能被起诉。

在安装欺诈性贷款应用程序后,用户被要求授予风险权限,使欺诈者能够访问设备上的敏感信息,如联系人列表、短信内容、照片、媒体等。

一旦授予权限,应用程序立即开始从设备中上传敏感数据到他们自己的服务器。

如果用户不批准这些权限请求,应用程序将不允许他们提交贷款请求。

在第一次启动时,被要求授予权限,并且要求用户填写KYC(了解你的客户)表格,要求提供身份证的信息,等等。

接下来,这些应用程序向用户提供欺骗性或虚假的贷款条款,促使他们贷款。

当受害者收到部分贷款时,利率条款会发生变化,或者出现之前的隐藏费用,有时会达到总借款额的三分之一。

一些用户还报告说,这些应用程序将还款期从承诺的180天减少到只有8天,在逾期时征收高额利息和罚款。

由于大多数人无法接受,没有能力或不愿意偿还贷款。应用程序运营商则开始利用第一阶段窃取的数据对他们进行骚扰,从通讯录中联系他们的家人和朋友并透露债务情况。

甚至运营商将从用户设备上盗取的图片经过编辑发送给联系人,对贷款人造成极大的困扰。

 苹果和谷歌进行了干预 

苹果和谷歌允许小额贷款应用程序在其应用程序商店中使用,但有严格的政策来规范其运作。

准则规定,最短的还款期应该是60天,最高的年收费百分比应该是36%。

上述应用程序声称条款符合这些准则,但在实际应用中,并不像他们所说的这样,所以应用程序商店因违反条款而将其删除。

当然,还需要进行更多的检查,以防止这些应用程序的运营商以不同的名字重新向应用程序商店提交这类应用程序。同时用户在下载时也应该保持警惕,防止不合规的条款盗取我们的信息。

参考来源:

https://www.bleepingcomputer.com/news/security/android-and-ios-apps-with-15-million-installs-extort-loan-seekers/

文章来源 :Freebuf.com

精彩推荐

最难就业季|“本想先读书躲一躲,谁料行情还不如两年前”



文章来源: https://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650557630&idx=1&sn=52663db302a02664fd19b45d449bff2b&chksm=83bd295ab4caa04c22dd9a57fe7c14582ed2eb539c33a5fc7896967fbe5271bb7cecb2b9b418#rd
如有侵权请联系:admin#unsafe.sh