Bluetooth-aanval geeft onderzoekers toegang tot infotainmentsysteem Tesla
Onderzoekers van securitybedrijf Synacktiv hebben tijdens de Pwn2Own-wedstrijd in Vancouver laten zien hoe ze via bluetooth onbeperkte roottoegang tot het infotainmentsysteem van een Tesla kunnen krijgen. Voor hun demonstratie ontvingen de onderzoekers een beloning van 250.000 dollar en een Tesla.
Pwn2Own is een jaarlijks terugkerende wedstrijd waarbij onderzoekers worden beloond voor het laten zien van onbekende kwetsbaarheden in veelgebruikte software. Dit jaar zijn er weer verschillende categorieën, namelijk virtualisatiesoftware, webbrowsers, zakelijke applicaties (Adobe Reader en Office 365), serversoftware, zakelijke communicatiesoftware (Zoom en Teams) en de Tesla Model 3 en Model S.
De hoogste beloning is te verdienen met een aanval op de Tesla's. Het gaat om een bedrag van in totaal 600.000 dollar. Pwn2Own werkt met verschillende "tiers". Hoe complexer de aanval, hoe hoger de beloning. De onderzoekers van Synacktiv demonstreerden een aanval in "Tier 2", waarbij ze via bluetooth het infotainmentsysteem via een heap overflow en een out-of-bounds write compromitteerden.
Verdere details over de aanval zijn niet gegeven. Die worden eerst met Tesla gedeeld, zodat het bedrijf een beveiligingsupdate kan ontwikkelen. Tijdens de eerste dag van Pwn2Own wisten onderzoekers van Synacktiv de gateway van de Tesla via ethernet te compromitteren, wat hen een "Tier 3" beloning van 100.000 dollar en de Tesla opleverde.
In deze zin worden een aantal termen gebruikt die betrekking hebben op computerveiligheid en cyberaanvallen. Ik zal ze uitleggen:
Scriptkiddie: Dit is een term die wordt gebruikt om iemand te beschrijven die weinig of geen diepgaande kennis heeft van computers of programmeren, maar die toch probeert om systemen te hacken of te compromitteren met behulp van tools en scripts die zijn geschreven door anderen. Meestal zijn scriptkiddies niet in staat om geavanceerde aanvallen uit te voeren of beveiligingsproblemen op te lossen.
Heap overflow aanval: Dit is een type cyberaanval waarbij een aanvaller een programma exploiteert door meer data in een geheugenbuffer (de heap) te plaatsen dan er ruimte voor is. Hierdoor kunnen gegevens in aangrenzende geheugenlocaties worden overschreven, wat kan leiden tot onvoorspelbaar gedrag, crashes of zelfs het uitvoeren van kwaadaardige code.
De zin geeft dus aan dat gelukkig de gemiddelde scriptkiddie niet in staat is om een geavanceerde cyberaanval uit te voeren, zoals een heap overflow aanval.
Deze posting is gelocked. Reageren is niet meer mogelijk.
CISO & Adviseur Informatieveiligheid
Wil jij een sleutelrol spelen bij de informatie-veiligheid van onze gemeente? Ben je zowel strategisch sterk als praktisch ingesteld? Dan hebben wij een uitdagende functie voor jou! Als Chief Information Security Officer (CISO) én Adviseur Informatieveiligheid vervul je een essentiële rol in onze organisatie.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?