API

  • Функция на Telegram може да разкрие адреса ви на хакери

    Уязвимост във функцията People Nearby на Телеграм за Android може да улесни хакерите да намерят точното ви местоположение.

    Когато я включите (това не е така по подразбиране) функцията ви показва всички  останали потребители на Telegram в същия географски регион, които са активирали People Nearby, и вие можете са се свържете с тях. Това ви помага да се срещате с нови хора и да създавате групи от съмишленици.

    Измамниците обаче могат да подправят (spoofing)  местоположението (API за геолокация), което тяхното Android устройство отчита на сървърите на Telegram. След като заложат локация, която ги интересува и активират People Nearby, те могат, по три различни местоположения, да определят точния адрес на всеки един от потребителите в същия географски регион. И да го използват за провеждане на последващи атаки и измами…

  • Smart аларма излага на риск от кражба над 3 млн. автомобила

    Две smart системи за автомобили излагат на риск от кражба над 3 млн. автомобила по цял свят, показва проучване на Pen Test Partners.

    Уязвимост в системата за сигурност на автомобилите позволява локализирането им, изключването на алармите и отключването на колите. В някои случаи е възможно дори да се подслушват разговори посредством микрофон, вграден в алармената система. И още: пълен контрол върху двигателя (стартирането му или спирането му, дори и автомобилът да е в движение при последното).

    Пробойните засягат алармени системи, които позволяват контрол върху сигурността на smart автомобили чрез приложения за смартфони, изработени от две компании – руската Pandora и американската Viper.

    Уязвимостите и на двете приложения се дължат на проблем с функциониране на програмно-приложените им интерфейси (API) и по-специално на функциите за смяна на парола и имейл. Благодарение на тази уязвимости, може лесно да бъде превзет акаунт на потребител.

    „Лека заигравка“ с параметрите на API-то позволява ъпдейт на имейл адреса, с който е регистриран даден акаунт, без за това да се изисква автентикация пред приложението. След тази промяна, атакуващият може лесно да смени паролата на потребителя чрез функцията Забравена парола и да превземе акаунта на жертвата си, пишат от Pen Test Partners.

    И двете компании са признали за уязвимостите и са ги запушили в рамките на няколко дни след анализа.

Back to top button