Обстановка в 🦆.

На фоне последних событий - кто-то завирусил картинку-мем с 📝Mossad Inside на 3 млн просмотров. Для тех, кто не понял о чем идёт речь.

🛡@Russian_OSINT

💻Сроки замены зарубежных СЗИ сдвинуты не будут

На конференции BIS Summit прозвучали заявления о том, что сроки, установленные указом президента на замену зарубежных средств защиты информации (СЗИ), сдвигаться не будут.

«С инициативой сдвинуть сроки выполнения Указов точно выходить не будем. Будем помогать тем, кто не готов к выполнению Указов»

— отметил в своем выступлении на пленарной сессии BIS Summit заместитель директора ФСТЭК России Виталий Лютиков.

🛡@Russian_OSINT

📱 Snapchat торгует👱🏻‍♂️"ИИ-фейсом" в рекламных объявлениях?

Как сообщает 404media, Snapchat показывает рекламу с изображением ИИ-лиц реальных людей на своей платформе. Согласно условиям предоставления услуг Snapchat, инструмент "Моё селфи" оставляет за собой право использовать созданные искусственным интеллектом изображения реальных пользователей в рекламных целях по своему усмотрению. Согласие пользователей включено по умолчанию (привет LinkedIn).

Один из пользователей недоумевает при виде рекламы со своими 😹ИИ-двойником:

Это мое лицо, мои волосы, одежда, которую я ношу, даже моя лампа и часть картины на моей стене на заднем плане. Я понятия не имею, как они получили мои фотографии, чтобы создать эту рекламу.

- жалуется пользовать Snapchat на Reddit.

Удивляет то, как Snapchat осознанно прячет подобные вещи в болоте своих юридических формулировок под названием "политика конфиденциальности", которую никто не читает.

- пишет другой пользователь.

Вы правы в том, что наши условия оставляют за собой право предлагать рекламу на основе "Моих селфи", в которой Snapchatter [пользователь] может увидеть себя на сгенерированном изображении"

- комментирует представитель Snapchat изданию 404media.

👆Snapchat подтвердил новость, но подчеркнул, что рекламодатели не имеют доступа к данным генеративного ИИ пользователей Snapchat.

◀️ Чтобы убрать свое лицо в рекламных объявлениях - необходимо убрать "See My Selfie in Ads". Тем не менее, нет полной ясности в другом... показывается ли ИИ-двойник другим пользователям в рекламных целях?

Отдельные пользователи резко негативно отзываются о Snapchat, так как ИИ-изображения в целях рекламы могли обучаться на личных фотографиях из телефона (предоставление доступа к хранилищу). Звучит странно, но чему-то удивляться уже стало сложно:

Полагаю, что год или около того назад что-то в пользовательском соглашении изменились формулировки, что позволяет Snapchat сканировать все миниатюры медиафайлов на вашей камере в рекламных целях. Это действительно очень плохо, и я удивлен, что люди еще не объявили бойкот Snapchat.

Так и есть. Некоторое время назад я обнаружил, что Snapchat пытается прощупать camera album. Я удалил его и стер аккаунт. Это было несколько лет назад.

Приложение не получит доступ к фотографиям, к которым вы не давали ему доступ. Если вы даете доступ к фотографиям, то предполагается, что они их сканируют. Это на iOS, про андроид не знаю

🛡@Russian_OSINT

📝 Qualcomm и Intel на пороге перемен

Как сообщают WSJ и NYT, на прошлой неделе представители Qualcomm обратились к Intel, чтобы обсудить возможность приобретения компании.

Предварительно известно, что сделка «далека от завершения», и официального предложения от Qualcomm пока не поступало. Перспектива слияния вызывает большой интерес в IT-индустрии, учитывая историческое соперничество между двумя технологическими гигантами.

Сейчас Intel переживает не лучшие времена: компания объявила об убытках в размере $1,6 миллиарда и планирует сократить более 15 000 сотрудников. На протяжении многих лет Intel удерживала сильные позиции за счёт собственного производства полупроводников, а конкуренты зачастую были вынуждены обращаться к сторонним подрядчикам. Однако ситуация изменилась со временем.

Из-за трудностей на производстве Intel в итоге сама стала зависима от таких гигантов, как TSMC - один из лидеров в мире контрактных производителей полупроводниковых компонентов.

Это в корне поменяло многие бизнес-процессы Intel. TSMC сегодня работает не только с Intel, но и основными конкурентами - AMD и Apple.

В ближайшее время будет решаться судьба Intel. Выпуск новых чипов Lunar Lake станет настоящим испытанием, определяющим её будущее на рынке. Если эти процессоры смогут достойно конкурировать с решениями Qualcomm, AMD и Apple, то компания сможет хотя бы частично укрепить шаткое положение и восстановить утраченные позиции. В случае провала, Intel станет лёгкой добычей для конкурентов.

🤔Будем посмотреть.

🛡 @Russian_OSINT

🇺🇸 В США опасаются кибератак на автомобили со стороны Китая и России

Как сообщает Bloomberg, Министерство торговли 🇺🇸США планирует опубликовать новые правила, которые должны запретить использование/тестирование 🇨🇳китайских и 🇷🇺российских технологий в автомобилях на территории США, связанных с автоматизированными системами вождения и связью в транспортных средствах. По словам собеседников, запрет коснётся как ПО, так и оборудования.

Многие современные автомобили оснащены различными девайсами, которые подключены к интернету и облачным сервисам, что делает их потенциальными уязвимыми для возможных 👺кибератак. Основная задача администрации Байдена - не дать Китаю или России взломать транспортные средства, а также исключить возможность отслеживания автомобилей, например, через мультимедийные системы и навигацию в авто. Ожидается, что в случае принятия новых правил именно китайские автопроизводители столкнутся с серьезными ограничениями на продажу своих автомобилей на американском рынке.

Под ограничения попадут и некоторые виды оборудования, включая системы V2X, которые позволяют автомобилям обмениваться данными с дорожной инфраструктурой и другими авто.

♋️Ограничения хотят вводить поэтапно. Окончательно они должны вступить в силу в январе 2025 года.

👆На фоне 😹последних событий, наиболее опасными технологиями могут считаться автоматизированные системы вождения и интеллектуальные помощники по управлению авто. Гипотетически, если злоумышленник получает доступ к такой системе через взлом (интернет), то он может изменить траекторию движения авто в процессе езды, направив машину, например, на встречную полосу.

🛡@Russian_OSINT

🥷🚫Telegram теперь охотнее будет делиться информацией о преступниках с правоохранительными органами

Дуров заявил, что команда Telegram обновила "Условия предоставления услуг" и "Политику конфиденциальности". Telegram собирается ограничить преступников от злоупотребления Telegram Search.

⬇️Теперь IP-адреса и📱номера телефонов тех, кто нарушает правила платформы, могут быть раскрыты👮компетентным органам в ответ на обоснованные юридические запросы.

Если вам все еще удается найти в Telegram-поиске что-то небезопасное или незаконное, пожалуйста, сообщите нам об этом через @SearchReport.

При попытке взаимодействия с ботом с аккаунтов из 🇷🇺РФ - пишет 🤔"This bot is not available in your region yet. Please come back later".

УПД: Бот заработал.

🧹🧹 Наконец-то почистят немного Telegram.

🛡@Russian_OSINT

🧠 Теперь боты решают задачи reCAPTCHAv2 в 100% случаев и стали эффективнее человека

Нашел интересное исследование "Breaking reCAPTCHAv2", где рассматривается эффективность использования передовых методов машинного обучения для решения капч - 🌐 reCAPTCHAv2 от Google.

С помощью модели YOLOv8 удалось решить 100% CAPTCHA-задач на базе reCAPTCHAv2. В предыдущих случаях результат был гораздо скромнее - всего лишь 68-71%.

Продвинутые боты и люди пробуют примерно одинаковое количество попыток для решения CAPTCHA, а в некоторых случаях боты даже превосходят людей по эффективности.

По утверждению авторов, главный вывод исследования заключается в том, что CAPTCHA-системы, такие как reCAPTCHAv2, больше не могут надёжно отличать людей от 🤖машин. Требуется пересмотреть методы защиты от ботов.

📄 https://arxiv.org/pdf/2409.08831

🛡@Russian_OSINT

Нашёл интересный сайт под названием - 🤖OverallGPT. Он даёт возможность сравнивать ответы различных LLM. Например, если написать: "Что появилось раньше — курица или яйцо?" => можно получить ответы от OpenAI GPT-4o, Anthropic Claude 3.5 Sonnet, Google Gemini 1.5 flash и Llama 3.1 405B Instruct Turbo. Все ИИ-модели убеждены в том, что 🐣яйцо.

⬇️ https://overallgpt.com/

💻 Лайфхак: для бесплатного использоваться даётся всего 2 попытки, но если 🧹очистить куки и permissions, то попытки бесконечные. Через тот же Bypass Paywalls Clean можно в один клик это делать.

🛡@Russian_OSINT

😎Илон Маск считает, что американский 🤖Бигтех предвзято относится к кандидату в президенты 🇺🇸США Дональду Трампу.

📊На изображении представлены данные о крупнейших донорах в поддержку Харрис/Байден и Дональда.

🌐Google и 🪟 Microsoft делают непропорционально большие пожертвования Демократической партии.

Эти компании [бигтех] контролируют почти 100% рынка веб-браузеров и поисковых систем. Даже имея самые лучшие намерения, они не могут быть непредвзятыми.

- 🦆 пишет предприниматель.

🛡@Russian_OSINT

💣 Операция по взрыву пейджеров в Ливане открывает ящик Пандоры?

Признанный эксперт в ИБ и гуру криптографии💻Брюс Шнайер поделился мнением относительно недавних взрывов пейджеров в Ливане, в результате чего погибло не менее 37 человек.

Как и предполагалось ранее, наиболее вероятной версией является атака на 🏭 цепочку поставок, а не "кибератака на литиевые батарейки". Слишком мощные были взрывы, об этом можно судить по характеру сильных увечий, которые видно на кадрах из местной больницы. Зная логистические цепочки, специалисты из 🎩определённых служб могли перехватить партию оборудования при переброске из точки А в точку Б, чтобы начинить её взрывчатым веществом. По другой версии, это могло быть сделано ещё на одном из этапов производства.

Подобные операции не являются чем-то принципиально новым, однако невозможно не отметить масштабность операции - логистика, грамотно рассчитанный тайминг, ювелирная работа по наполнению устройств "начинкой" и многое другое...

По мнению Шнайера, будущее военных конфликтов и 🥷❗️шпионских операций будет тесно связано с цепочками поставок высокотехнологичных устройств. Дерзкая операция в некотором смысле открыла ящик Пандоры.

Международные цепочки поставок 🖥компьютеризированного оборудования делают всех нас уязвимыми. И у нас нет адекватных средств для защиты от подобного...

Целями могут стать не только террористы.

Наши 😷компьютеры уязвимы и даже наши автомобили, холодильники, домашние термостаты и многое другое. Мишени повсюду.

Метод убийства с помощью персонального устройства, тоже не новый. 🇮🇱Израиль использовал эту тактику против одного из членов ХАМАС, который изготовил бомбу в 1996 году и активиста ФАТХ в 2000 году. Оба были убиты дистанционно заминированными мобильными телефонами.

- комментирует эксперт.

Наши цепочки поставок уязвимы, а значит, уязвимы и мы сами. Любой человек - любая страна, любая группа, любой человек, который взаимодействует с высокотехнологичной цепочкой поставок.

В 2017 году в архиве документов 🇺🇸 ЦРУ появились заявления о возможности дистанционного взлома автомобилей, которые, по утверждению WikiLeaks, могут быть использованы для совершения «почти незаметных убийств». Это не просто теория: в 2015 году репортер Wired позволил хакерам удаленно управлять его автомобилем, пока он находился за рулем. Они отключили двигатель, когда он ехал по шоссе.

Для «Хезболлы» не стало тревожным сигналом то, что пейджеры были получены от венгерской компании, которая поставляла их из Тайваня, потому что это совершенно нормальное явление.

Большинство электроники, которую покупают американцы, поставляется из-за рубежа, включая наши iPhone, чьи детали поставляются из десятков стран, а затем собираются в основном в Китае.

👆Учитывая масштаб последних акций в Ливане, многие страны будут опасаться покупать высокотехнологичное оборудование у недружественных стран. И самое главное, проблему доверия в текущей геополитической обстановке практически невозможно решить, так как "современные цепочки поставок сильно переплетены и глубоко интернациональны" на сегодняшний день. Чтобы изменить систему, грубо говоря, потребуется вернуть глобальную экономику в 1980-е годы.

Когда черту перешли, это означает, что другие страны почти наверняка начнут рассматривать ⚔️подобную тактику как допустимую. Она может быть применена против военных, так и против гражданского населения в преддверии войны.

- считает Шнайер.

🛡@Russian_OSINT

🚰В США утекли данные 100 млн граждан из-за проблем у MC2 Data

Cybernews утверждает, что им удалось выявить масштабную утечку данных в компании MC2 Data, которая занимается проверкой биографий и сбором информации о гражданах США. Утечка произошла якобы в результате человеческой ошибки.

База данных объемом 2,2 ТБ, содержащая более 106 миллионов записей оказалась открытой для всех желающих в интернете, затронув как минимум 100 миллионов граждан США: имена, адреса, телефонные номера, судебные записи, историю занятости и другие данные.

🛡@Russian_OSINT

Обстановка на форуме "Цифровая транспортация" в Москве.

🤖Робот раздаёт 🥟пирожки, а на сцене бабушки поют:

"Мы не только нефть берем из-под земли,
Мы и в космос запускаем корабли,
И на трассу без водителя "Камаз".
Ну и как тебе такое, 😎Илон Маск?"

🛡@Russian_OSINT

🎖🇺🇸 Военные США планируют создать трудноблокируемые гибкие инструменты анонимности в "авторитарных странах"

Проект TOR (The Onion Router) начал свою историю в середине 1990-х годов, как исследовательская инициатива военно-морских сил США при Naval Research Laboratory, целью которой было создание системы, способной обеспечивать анонимную передачу данных в интернете. Известно, что проект в течение многих лет финансировался различными правительственными организациями США, 🇺🇸 Госдепом США, фондом Сороса "Open Society Foundations" (признан нежелательным в России), 👮Минобороны США, и так далее...[1,2,3,4]. В исследовании анонимных сетей также свою руку приложило Управление перспективных исследовательских проектов Министерства обороны США (DARPA).

Многие годы "безопасная" луковая сеть под чутким надзором 👁 военных США общественности удовлетворяла потребностями анонимного общения в интернете, однако ситуация изменилась совсем недавно.

Дело в том, что 19 сентября агентство DARPA анонсировало появление новой программы под названием "Provably Weird Network Deployment and Detection" (PWND²), целью которой является фундаментальное изменение подхода к развертыванию и обнаружению так называемых👺скрытых сетей, используя комбинацию из формальных методов и программно-определяемых сетей (SDN).

DARPA беспокоит то, что такие страны, как 🇨🇳Китай, 🇷🇺 Россия и 🇮🇷Иран, стали эффективно 🚠мониторить и блокировать интернет-коммуникации, используемые для распространения "свободы слова". Например, Китай инвестируют значительные ресурсы в обнаружение и блокировку трафика той же луковой сети, используя DPI и другие технологии для идентификации/фильтрации трафика.

🤔Почему DARPA хочет изменить подход? И зачем усложнять?

TOR изначально не был разработан с использованием формальных методов, которые обеспечивают математические доказательства безопасности. Вместо этого его безопасность и анонимность основываются на практических реализациях криптографических протоколов. Протоколы обеспечивают высокий уровень приватности, но не могут гарантировать устойчивость ко всем возможным видам атак, так как отсутствует формальное доказательство их безопасности.

С технической точки зрения, PWND² фокусируется на разработке "странных сетей" (weird networks) — скрытых или непреднамеренных коммуникационных путей, возникающих в уже существующих сетях. Примеры таких сетей включают DNS-туннелирование (например, инструмент iodine), обфусцированные каналы из проекта DARPA RACE, а также плагины для обхода цензуры.

PWND², в отличие от TOR, базируется на 3 🐳китах - формальных методах, SDN и гарантиях устойчивости к атакам, при этом обеспечиваются математические доказательства безопасности и приватности скрытых коммуникационных систем, а гибкость системы позволяет эффективнее противодействовать попыткам блокировки со стороны условного цензора.

Новая программа опирается на успех предыдущей инициативы — RACE (Resilient Anonymous Communication for Everyone), которая была нацелена на разработку устойчивых и анонимных систем связи. Реализация проекта рассчитана на 30 месяцев и включает разработку предметно-ориентированного языка (DSL). Помимо разработки DSL, программа фокусируется на создании инструментов формального анализа, которые позволят проверять ключевые свойства этих систем, такие как производительность, безопасность, приватность и масштабируемость. Особое внимание уделяется сетям, работающим на уровнях 3–5 стека OSI [исправлено], исключая физический и канальный уровни. Это связано с тем, что большинство скрытых коммуникаций возникает именно на этих уровнях, где можно внедрить обфусцированные и труднообнаружимые каналы связи.

👺 Если гипотетически предположить, что проект заработает, то на базе PWND² у военных США появятся идеально контролируемые "анонимные" проекты, как небольшие, так и массовые продукты (которые обязательно будут пиарить). Предполагается, что "безопасные" сети будут являться идеальной средой для общения, вербовки, передачи секретной информации при взаимодействии c гражданами из Ирана, Китая, России под вывеской "за свободу слову".

🛡@Russian_OSINT

👩‍💻 Компания OpenAI обещает сделать доступной фичу Advanced Voice (общение голосом с ChatGPT) в течение недели.

Уже появляются видосики из США, где ИИ просят заказать завтрак на дом 🍔 голосом. AV поддерживает +50 языков, включая русский.

👆Если почитать Voice mode FAQ, то можно выделить следующее:

▶️ Ежедневное использование AV для пользователей Plus и Team ограничено ежедневным лимитом, и ежедневные лимиты могут меняться. Пользователи Plus и Team получат уведомление, когда у них останется 15 минут использования в течение суток. Ограничения нацелены на то, чтобы сбалансировать нагрузку на систему, поскольку продвинутый голос требует больше вычислительных ресурсов, чем стандартный режим.

▶️После того как лимит продвинутого голоса будет исчерпан, пользователи смогут продолжать использовать стандартный голосовой режим, который не имеет ограничений, но работает по другому принципу — сначала транскрибирует голос в текст, а затем использует модель для ответа.

▶️Advanced Voice доступен пользователям ChatGPT Plus и Team, использует GPT-4o для более естественных разговоров и распознает невербальные сигналы, такие как скорость речи и эмоции.

▶️Аудио в продвинутых голосовых чатах сохраняется в истории, и пользователи могут решать, делиться ли своими записями для улучшения моделей.

▶️Аудио не используется для тренировки моделей, если только пользователь сам не включит соответствующую опцию в настройках («Improve voice for everyone»).

▶️ Пока AV недоступен в некоторых регионах, таких как ЕС, Великобритания, Швейцария, Норвегия и другие. Пользователи в этих регионах могут использовать только стандартный голосовой режим.

🛡@Russian_OSINT

🇷🇺 Ущерб от киберпреступлений в России с начала 2024 превысил 💸116 миллиардов рублей

По данным Главы МВД РФ Владимира Колокольцева, ущерб от киберпреступлений в России с начала текущего года превысил 116 миллиардов рублей.

"За последние пять лет число противоправных деяний в киберпространстве увеличилось более чем вдвое. Сегодня их доля в общем массиве остается значительной и составляет около 40%. А по тяжким и особо тяжким составам этот показатель уже приблизился к 60%"

- прокомментировал Колокольцев на заседании Общественного совета при МВД РФ.

👆Ранее заместитель начальника следственного департамента МВД РФ Данил Филиппов сообщил, что 🥷кибермошенники вывели за границу более 350 млрд рублей за 3 года .

✋ @Russian_OSINT

🧊 Mozilla обвинили в слежке за пользователями с помощью PPA

Базирующаяся в 🇦🇹Вене группа по защите конфиденциальности данных под названием "NYOB" подаёт жалобу на компанию Mozilla в австрийский орган по защите данных (DSB) за «тихое включение» функции PPA в браузере Firefox, которая, по их мнению, отслеживает поведение пользователей без согласия.

По утверждению "NYOB", функция отслеживания затрагивает миллионы пользователей в 🇪🇺ЕС, которые имеют право на защиту от несанкционированной слежки в соответствии с положениями GDPR. Подробнее тут.

👆Речь идёт про фичу Privacy-Preserving Attribution (PPA), о которой писал ещё летом.

👁 Атрибуция с сохранением конфиденциальности (PPA) — это экспериментальная функция, которая появилась в Firefox версии 128. Согласно официальной информации, Mozilla разрабатывает прототип этой функции, чтобы дополнить появляющийся веб-стандарт, призванный помочь сайтам понять, как работает их реклама, без сбора данных об отдельных людях.

👀 PPA работает следующим образом:

1️⃣ Веб-сайты, которые показывают рекламу, могут попросить пользователя Firefox запомнить эти объявления. Когда это происходит, Firefox сохраняет “показ”, содержащий небольшую информацию о рекламе, включая целевой веб-сайт.
2️⃣ Если пользователь посещает целевой веб-сайт и делает что-то, что веб-сайт считает достаточно важным для подсчета (“конверсия”), то этот веб-сайт может попросить Firefox создать отчёт. Целевой веб-сайт указывает, какие объявления его интересуют.
3️⃣ Firefox создает отчёт на основе запросов веб-сайта, но не передает результат веб-сайту. Вместо этого Firefox шифрует отчет и анонимно отправляет его, используя Протокол распределенной агрегации (DAP), в “службу агрегации”.
4️⃣ Результаты объединяются службой агрегации со многими аналогичными отчётами. Веб-сайт, на который пользователь отправляет запрос, периодически получает сводку отчётов. Сводка содержит шум, который обеспечивает повышенную конфиденциальность.

По утверждению Mozilla, такой подход имеет массу преимуществ по сравнению с традиционными методами атрибуции, которые предполагают, что многие компании узнают слишком много о том, чем занимается пользователь в Интернете.

Юрист по защите данных из noyb Феликс Миколаш раскритиковал подход Mozilla:

Mozilla утверждает, что разработка «атрибуции с сохранением конфиденциальности» улучшает конфиденциальность пользователей, позволяя измерять эффективность рекламы без сбора персональных данных на отдельных сайтах. На самом деле, часть отслеживания теперь осуществляется непосредственно в Firefox. В действительности эта опция отслеживания также не заменяет cookies, а просто является альтернативным - дополнительным способом таргетирования рекламы для веб-сайтов.

Пользователи должны иметь возможность выбора, и эта функция должна была быть отключена по умолчанию.

- считает Миколаш.

=====

✅ Теперь к практическим вещам. Как убедиться, что PPA выключен:

1️⃣ Нажмите кнопку меню и выберите Настройки.

2️⃣ На панели Приватность и Защита найдите раздел Настройки рекламы для веб-сайтов.

3️⃣ Снимите флажок с надписью Разрешить веб-сайтам проводить измерение рекламы с сохранением приватности (или через поисковую строку в настройках).

✋ @Russian_OSINT

🎩🇺🇸 Зачем Секретная служба США потратила 50 000 долларов на 👩‍💻OpenAI?

Секретная служба потратила $50 000 на облачные сервисы Microsoft Azure и OpenAI, но отказывается говорить зачем, сообщает 404 Media.

«Секретной службе США требуется обеспечить себя облачными сервисами Microsoft Azure-Open AI», - говорится в меморандуме Секретной службы от сентября 2023 года.

404 Media получила этот и другие документы в результате запроса в Секретную службу по закону о свободе информации (FOIA).

В документах не говорится никакой конкретики - зачем Секретной службе понадобился такой "инструмент". В контексте инструмента подразумевается разное: программное обеспечение, кастомные агенты, ИИ чат-боты, доступ к какой-то платформе или технологии.

Представитель Секретной службы прокомментировал, что агентство «не обсуждает средства или методы, используемые в операциях», отказавшись раскрывать подробности.

========
🤔OpenAI была создана в 2015 году как некоммерческая исследовательская организация, но в 2019 году было принято решение открыть коммерческое подразделение OpenAI LP, чтобы привлечь капитал от инвесторов, в том числе от Microsoft.

На днях стало известно, что OpenAI планирует провести реструктуризацию своего основного бизнеса и стать полноценно коммерческой компанией. Все это происходит на фоне серьёзных изменений в руководстве компании: технический директор Мира Мурати объявила об уходе. Сэм Альтман надеется, что компания может вырасти в капитализации до 150 миллиардов долларов после всех изменений.

✋ @Russian_OSINT

🥷 Хакеры могли удаленно управлять ключевыми функциями авто🚗 Kia, зная только номерные знаки

Исследователи в области кибербезопасности Нейко Ривера, Сэм Карри, Джастин Райнхарт и Ян Кэрролл раскрыли ряд уязвимостей в машинах Kia, которые могли позволить потенциальным злоумышленникам удаленно управлять ключевыми функциями автомобиля, при этом зная только номерные знаки. В исследовании утверждается, что проблема затронула почти все автомобили, выпущенные после 2013 года.

❗️Используя уязвимости и благодаря Kia Connect API, этичные хакеры смогли заполучить доступ к таким возможностям, как удалённая блокировка и разблокировка дверей, запуск двигателя, управление сигналом, фарами, камерами в некоторых моделях. В дополнение, злоумышленники могли выкрасть ещё и персональные данные владельцев, включая их ФИО, телефон, электронную почту, адрес проживания. Примечательно, что зная лишь номерной знак авто, ресерчерам удалось преобразовать его в VIN благодаря сторонним API.

По заявлению Kia, уязвимость залатали. Компания самостоятельно убедилась в ходе внутреннего аудита, что проблема решена и владельцы корейского бренда теперь могут спать спокойно. Тестовые инструменты исследователей не попали в публичный доступ, а сами уязвимости вовремя были устранены, поэтому в "дикой природе" никем не использовалась.

💬 Ресерчеры раскрывают некоторые технические подробности истории тут - https://samcurry.net/hacking-kia

✋ @Russian_OSINT