Hackers: the internet's immune system | Keren Elazari
Hakeri mogu utjecati na prometne tokove u stvarnom vremenu, analitički sustavi kako bi ljudi mogli voziti u prometne gužve ili očuvati ceste jasno na područjima gdje mnogi koriste Google ili Waze navigacijske sustave, pokazao je njemački istraživač na BlackHat Europe.
Google i Waze nude oba navigacija u aplikacijama za pametne telefone i upotrebljavaju informacije dobivene s tih telefona za analizu prometa u stvarnom vremenu. Međutim, zbog kompromisa između privatnosti korisnika i prikupljanja podataka, hakeri mogu anonimno utjecati na navigacijski softver kako bi zavarali prometni sustav u stvarnom vremenu u registraciji nečega što nije tamo, rekao je Tobias Jeske, doktorski student Instituta za sigurnost u distribuciji
"Ne trebate posebnu opremu za to i možete manipulirati prometnim podacima širom svijeta", rekao je Jeske.
[Dodatna čitanja: Kako ukloniti zlonamjerni softver s vašeg Windows računala]I Google i Waze koriste GPS kao i Wi-Fi u telefonima za praćenje lokacija. Ako je samo Wi-Fi omogućen, prenijet će se samo informacije o bežičnim pristupnim točkama i radio stanicama u okolnom području, što navigacijama omogućuje približavanje lokacije korisnika, rekao je Jeske.
Google navigacija koristi podatke o stanju u prometu u stvarnom vremenu na usluzi Google Maps for Mobile. Protokol koji se koristi za slanje podataka o lokaciji zaštićen je TLS (Transport Layer Security) tunelom koji osigurava integritet podataka tako da je nemoguće da napadač prati strani telefon ili mijenja podatke bez da ih otkrije Google, izjavio je Jeske. Međutim, TLS je beskoristan ako napadač kontrolira početak TLS tunela, dodao je.
Da bi mogao kontrolirati početak tunela, Jeske je izvršio napad na čovjeka u sredini na Androidu 4.0.4 telefon da se ubacuje u komunikaciju između pametnog telefona i Googlea. Kada napadač kontrolira početak tunela, lažne informacije mogu se poslati bez otkrivanja i na taj način napadači mogu utjecati na analizu prometa, prema Jeskeu.
Ako primjerice napadač pokreće rutu i prikuplja paket podataka poslanih Googleu, haker ih može naknadno ponoviti s izmijenjenim kolačićem, ključem platforme i vremenskim markama, objasnio je Jeske u svom istraživačkom radu. Napad se može pojačati slanjem nekoliko odgođenih prijenosa s različitim kolačićima i ključevima platforme, simulirajući više automobila, dodao je Jeske.
Napadač ne mora voziti rutu za manipuliranje podacima, jer Google također prihvaća podatke s telefona bez informacija od, što je omogućilo napadaču da utječe na prometne podatke širom svijeta, dodao je.
Sličan scenarij napada može se primijeniti na Waze, ali je teže utjecati na navigaciju drugih vozača, rekao je Jeske. Waze povezuje podatke o poziciji s korisničkim računima, tako da napadač koji želi simulirati više vozila zahtijeva različite račune s različitim adresama e-pošte, dodao je.
Jeske je pronašao i način prijenosa podataka o položaju u Waze bez autentifikacije korisnika, pružajući napadaču anonimnu, bez razmišljanja o tom načinu.
Za napadača do stvarnog utjecaja prometa, značajan broj Waze ili Google navigacijskih korisnika mora biti u istom području. Kad je riječ o Wazeu, to se vjerojatno neće dogoditi, primjerice, oko Hamburga, rekao je. Međutim, Waze je u srpnju prošle godine imao 20 milijuna korisnika širom svijeta, pa bi trebalo postojati područja gdje je to moguće, rekao je.Iako Jeske nije testirala ranjivost drugih usluga koje nude podatke o prometu u stvarnom vremenu, oni rade više ili manje na isti način kao i Google i Waze, pa očekuje da su slični napadi na te sustave mogući, kazao je. koji nude aplikacije za navigaciju mogu izbjeći takav napad povezivanjem podataka o lokaciji s jednom vremenskom provjerom autentičnosti koja je vremenski ovjerena i ograničena na određeno vrijeme, rekao je Jeske. To bi ograničilo maksimalni broj važećih paketa podataka po vremenu i uređaju, čime bi se osigurao sustav, dodao je.
Ako ste na tržištu osnovnog GPS navigacijskog sustava, Mio Tehnologija Mio Moov S501 može se uklopiti u račun. Po cijeni od nešto manje od 200 dolara (od 31. kolovoza 2009.) nudi veliki, neobuzdani ekran, upute za glasovno ime koje nazivaju ulicama i velikodušnu bazu podataka o točkama interesa u elegantnom i lijepom paketu. No, uređaj ima nekih problema s upotrebljivosti i morate odreći (ili platiti dodatnu) za povezane GPS značajke (kao što su upozorenja o prometu u stvarnom vremenu) koju neko
Svelte (manje od 0,75 inča debela ) Moov S501 - zajedno sa svojim manjim, jeftinijim bratom, Moov S401 - uvodi novo korisničko sučelje pod nazivom Duh, koje je korisnije od svojih prethodnika, uglavnom zbog toga što vam omogućuje uklanjanje neprimjerenih informacija sa svojih zgodnih, 4,7-inčnih , Zaslon osjetljiv na dodir od 480 do 272 piksela. Kretanje između pokretnih karata i izbornika prilično je intuitivno; to uključuje tapkanje velikih strelica i tipki za povratak. S501 ima bazu podataka
Google je u petak priopćio kako stječe AppJet, malu pokretljivost s naglaskom na suradnji s internetskim dokumentima u stvarnom vremenu. Tim AppJet će se preseliti u "dolje" da se pridruži timu Google Wave u Australiji i pomogne u redefiniranju suradnje "u stvarnom vremenu".
Mnogi od tima AppJet ranije su radili za Google prema web mjestu AppJet. Glavni izvršni direktor Aaron Iba napisao je algoritme za poboljšanje kvalitete pretraživanja, glavni operativni direktor Daniel Clemens bio je suradnički voditelj proizvoda, a glavni tehnološki časnik JD Zamfirescu također je napustio Google.
ČIni se da je gotovo sve lomljivo kada je riječ o sigurnosti na Internetu. Vidjeli smo čak i najbolje sigurnosne sustave koji imaju jedan ili više nedostataka koji se mogu iskoristiti za dobrobit hakera. Ne, neki profesori na tri sveučilišta pokazali su da korištenje bankovnih lozinki preko WiFi-a više nije sigurno. Oni su došli do papira kako bi pokazali kako hakeri mogu ukrasti vaše lozinke preko WiFi-a.
Kako hakeri mogu ukrasti lozinke preko WiFi-a