Султан Касим Хан, консультант по безопасности из компании NCC Group, раскрыл уязвимость, позволяющую злоумышленникам проникать в салоны автомобилей Tesla и даже заводить их двигатель. Уязвимость заключается в перенаправлении связи между смартфоном или брелоком владельца Tesla и самим автомобилем. Во время демонстрации специалист использовал два небольших ретранслятора, приобретенные за 100 долларов США в обычном интернет-магазине и ноутбук со специальным ПО.
"Злоумышленник может подойти к любому припаркованному на улице автомобилю Tesla, разместить нужное оборудование и провести атаку, если телефон или брелок хозяина машины будет дома.", – сказал Хан в интервью Bloomberg. "Как только ретранслятор будет установлен рядом с брелоком или телефоном, злоумышленник сможет посылать на них команды из любой точки мира".
Уязвимость уникальна для конкретных моделей Tesla – издание Bloomberg особо отметило Model 3 и Model Y. Пока неясно, использовалась ли уязвимость для угона электрокаров в прошлом. Хан рассказал, что сообщил Tesla о уязвимости, но представители компании в своем ответе специалисту назвали проблему не настолько существенной, чтобы вносить необходимые аппаратные изменения.
Связь между смартфоном или брелком и автомобилем устанавливается с помощью технологии Bluetooth Low Energy (BLE). По словам Хана, этот протокол в прошлом использовался хакерами для получения доступа к телефонам и ноутбукам. Уязвимость показывает, что устройства "умного дома" и даже автомобили могут быть легко использованы хакерами в своих целях.
К счастью, у Tesla есть "PIN to Drive" – защита замка зажигания паролем, способная защитить машину от угона злоумышленниками. Однако неизвестно, сколько владельцев электрокаров пользуются этой функцией.
Редакция Кибер Медиа собрала для вас главные события этой недели из мира кибербезопасности.
Руководители OpenAI, Anthropic, Google DeepMind, Microsoft AI и других технологических компаний подписали открытое письмо к Конгрессу США с призывом ввести обязательную проверку заказов на синтетические ДНК и РНК.
Apple заявила, что мессенджер Max был удален из App Store из-за правил соблюдения санкций: в комментарии Русской службе BBC компания уточнила, что соблюдает законы юрисдикций, в которых работает, но не раскрыла, о каких именно санкциях идет речь.
Исследователи Google разработали систему Passive Heart Rate Monitoring, которая позволяет измерять частоту сердечных сокращений и пульс в состоянии покоя с помощью обычной фронтальной камеры смартфона.
Российская индустрия информационной безопасности в ближайшие годы способна дорасти до годового объема в 1 трлн рублей.
На полях Петербургского международного экономического форума заместитель генерального директора «Газпром-Медиа Холдинга» Сергей Косинский, возглавляющий направление цифровых активов, представил аналитический срез ключевых ИБ-вызовов медиаиндустрии.
Заместитель начальника Аналитического центра кибербезопасности ООО «Газинформсервис» Светлана Лагутина выступит с докладом на «Электро-2026».
На Петербургском международном экономическом форуме состоялась профильная сессия Сбера «Цифровой самозванец: новое оружие массового поражения».
В рамках участия в проекте студенты получили практические знания по работе с программными продуктами «Группы Астра», в частности с Astra Linux — российской операционной системой № 1.
Наиболее атакуемыми отраслями остаются телеком, финансовый сектор и государственные организации; мощность отдельных атак выросла на 173%, а атаки свыше 200 Гбит/с участились на 215%.
