Независимому исследователю удалось обнаружить в Tesla Model 3 XSS-уязвимость. С ее помощью можно извлечь и модифицировать информацию о транспортном средстве. Судя по всему, аналитик прошел полный курс по кибербезопасности Санкт-Петербург раз смог найти то, что не обнаружили разработчики ПО машины.
Какой баг нашли, полный курс по кибербезопасности Санкт-Петербург
По всей видимости, изначально независимый эксперт посчитал, что обнаружить какие-либо уязвимости в Tesla невозможно. Потому он провел ряд тестов над собственным автомобилем и не выявил никаких багов. При проверке он использовал программу XSS Hunter, который дал машине новое имя «% x.% X.% X.% X». Исследователь был удивлен тому, что автомобиль считал знаки в имени и корректно отобразил их на бортовом компьютере. Аналитик не стал удалять программу и в скором времени забыл о ней. Чтобы найти неисправность, не обязательно заканчивать дистанционные курсы по информационной безопасности Санкт-Петербург, но необходимо знать основы кибербезопасности.
Через некоторое время лобовое стекло машины оказалось разбито из-за попавшего в него камня. Владелец авто хотел обратиться в сервисный центр при помощи встроенного приложения, но на следующий же день получил текстовое уведомление. Как выяснилось, забытая им программа XSS Hunter нашла слепую XSS. Вот тут-то ему и пригодились знания, которые мог дать только курс основы информационной безопасности Санкт-Петербург.
Как себя проявляет ошибка
Tesla должна была предоставить доступ к полной информации, а именно:
- скорость;
- версия прошивки;
- температура;
- сведения о давлении в шинах;
- информацию о блокировке.
Но вместо этого на дисплее высветилась ошибка. В действительности вся информация тут же передавалась по независимому каналу связи. Чтобы вызвать ее, необходимо было отправить некоторое количество запросов в службу поддержки. То есть любой человек, отправивший запрос, мог получить все сведения о конкретном автомобиле и его владельце.
Каждый курс информационная безопасность онлайн Санкт-Петербург учит, что любая обнаруженная уязвимость должна быть немедленно передана в службу безопасности фирмы или интернет-портала, в противном случае она может попасть в руки хакеров, которые воспользуются ей в корыстных целях.
Команда SEDICOMM University: Академия Cisco, Linux Professional Institute, Python Institute.