Unlocking L.A.'s Traffic Grid: Phreaked Out (Episode 1)
Les hackers peuvent influencer le trafic en temps réel. des systèmes d'analyse permettant aux gens de conduire dans les embouteillages ou de garder les routes dégagées dans les zones où beaucoup de gens utilisent les systèmes de navigation Google ou Waze, un chercheur allemand démontré à BlackHat Europe.
Google et Waze offrent une navigation virage par virage dans les applications pour smartphones et utiliser les informations dérivées de ces téléphones pour l'analyse du trafic en temps réel. Cependant, en raison du compromis entre la confidentialité des données et la collecte de données, les pirates informatiques peuvent influencer anonymement les logiciels de navigation pour tromper le système de trafic en temps réel afin d'enregistrer quelque chose qui n'existe pas, a déclaré Tobias Jeske, doctorant à l'Institute for Security in Distributed. Applications de l'Université de Technologie de Hambourg, lors de la conférence sur la sécurité à Amsterdam
"Vous n'avez pas besoin d'équipement spécial pour cela et vous pouvez manipuler les données de trafic dans le monde entier", a déclaré Jeske. logiciel malveillant à partir de votre PC Windows]
Google et Waze utilisent le GPS ainsi que le Wi-Fi dans les téléphones pour suivre les emplacements. Si le Wi-Fi seul est activé, seules les informations sur les points d'accès sans fil et les cellules radio de la zone environnante seront transférées, ce qui permettra aux systèmes de navigation d'obtenir une approximation de l'emplacement de l'utilisateur. Hambourg, AllemagneLa navigation Google utilise les informations sur le trafic en temps réel dans Google Maps pour mobile. Le protocole utilisé pour envoyer les informations de localisation est protégé par un tunnel TLS (Transport Layer Security) qui garantit l'intégrité des données de sorte qu'il est impossible pour un attaquant de surveiller un téléphone étranger ou de modifier des informations sans être détecté par Google. Cependant, TLS est inutile si l'attaquant contrôle le début du tunnel TLS, at-il ajouté.
Si, par exemple, un attaquant conduit une route et recueille les paquets de données envoyés à Google, le hacker peut les rejouer plus tard avec un cookie modifié, une clé de plate-forme et des horodateurs, a expliqué Jeske dans son document de recherche. L'attaque peut être intensifiée en envoyant plusieurs transmissions retardées avec des cookies et des clés de plate-forme différents, simulant plusieurs voitures, a ajouté Jeske.
Un attaquant n'a pas besoin de conduire une route pour manipuler des données.
Un scénario d'attaque similaire peut être appliqué à Waze, mais il est plus difficile d'affecter la navigation des autres conducteurs, a indiqué M. Jeske. Waze associe les données de position aux comptes d'utilisateurs, donc un attaquant qui veut simuler plus de véhicules a besoin de différents comptes avec différentes adresses e-mail.
Jeske a également trouvé un moyen de transférer des données de position à Waze sans authentification utilisateur., a-t-il dit, sans donner plus de précisions sur cette méthode.
Pour un attaquant du trafic d'influence réel, un nombre important d'utilisateurs de navigation Waze ou Google doivent se trouver dans la même zone. Quand il s'agit de Waze, cela ne se produira probablement pas, par exemple, autour de Hambourg, a-t-il dit. Waze, cependant, avait 20 millions d'utilisateurs dans le monde en juillet l'année dernière, donc il devrait y avoir des zones où cela est possible, a-t-il dit.
Bien que Jeske n'ait pas testé la vulnérabilité d'autres services offrant des données de trafic en temps réel, ils fonctionnent plus ou moins de la même manière que Google et Waze, il s'attend donc à ce que des attaques similaires soient possibles, dit-il. Cette offre d'applications de navigation peut éviter ce type d'attaque en liant les informations de localisation à une authentification ponctuelle horodatée et limitée à une durée fixe, a indiqué M. Jeske. Cela limiterait le nombre maximal de paquets de données valides par heure et par appareil, contribuant ainsi à sécuriser le système, at-il ajouté.
Les puces RFID pour passeports électroniques peuvent être clonées et modifiées sans être détectées, ce qui représente un béant Selon les chercheurs en sécurité, les données sur les puces radioélectriques contenues dans les passeports électroniques peuvent être clonées et modifiées sans être détectées, ce qui représente un trou de sécurité béant dans les systèmes de contrôle des frontières de la prochaine génération.
Vers le haut de 50 pays déploient des passeports avec des puces RFID (identification par radiofréquence) intégrées contenant des données biométriques et personnelles. Cette mesure vise à réduire le nombre de passeports frauduleux et à renforcer les contrôles frontaliers, mais les experts en sécurité affirment que ces systèmes présentent plusieurs faiblesses.
Les applications mobiles doivent divulguer les pratiques de confidentialité, Les développeurs d'applications mobiles doivent fournir aux utilisateurs des informations en temps réel sur les informations personnelles collectées.
Les développeurs d'applications mobiles doivent fournir des informations en temps réel aux utilisateurs sur les informations personnelles qu'ils collectent et obtenir la permission de collecter des informations sensibles, a recommandé la Federal Trade Commission des États-Unis.
La police de Mumbai a arrêté samedi un chercheur en sécurité qui a enquêté sur des problèmes de sécurité dans des machines à voter électroniques. chercheur en sécurité qui a enquêté sur les machines à voter électroniques (EVM) utilisées lors des élections indiennes a été arrêté par la police à Mumbai samedi. Hari Prasad et d'autres chercheurs ont publié une vidéo plus tôt cette année montrant comment, après avoir bricolé avec l'électronique interne d'un EVM, ils pourraient effectuer des attaques
En avril, Prasad a déclaré à IDG News Service que son groupe de chercheurs avait accès à une EVM opérationnelle. lors d'une élection par le biais d'une source anonyme.