Hacken als een manier van denken
Hackers kunnen de realtime verkeersstroom beïnvloeden- analysesystemen om mensen te laten filmen of om de weg vrij te houden in gebieden waar veel mensen Google- of Waze-navigatiesystemen gebruiken, liet een Duitse onderzoeker zien op BlackHat Europe.
Google en Waze bieden beide turn-by-turn navigatie in smartphone-apps en gebruik informatie die is afgeleid van die telefoons voor realtime verkeersanalyse. Echter, vanwege de afweging tussen gebruikersprivacy en gegevensverzameling, kunnen hackers navigatiesoftware anoniem beïnvloeden om het real-time verkeerssysteem te misleiden tot het registreren van iets dat er niet is, zei Tobias Jeske, een promovendus bij het Instituut voor Veiligheid in Gedistribueerd Toepassingen van de Technische Universiteit van Hamburg, tijdens de veiligheidsconferentie in Amsterdam.
"U hebt hiervoor geen speciale apparatuur nodig en u kunt verkeersgegevens wereldwijd manipuleren," zei Jeske.
[Lees meer: Hoe te verwijderen malware van uw Windows-pc]Zowel Google als Waze gebruiken GPS en Wi-Fi op telefoons om locaties te volgen. Als alleen wifi is ingeschakeld, wordt alleen informatie over draadloze toegangspunten en radiocellen in de omgeving overgedragen, waarmee de navigatiesystemen de locatie van de gebruiker kunnen benaderen, aldus Jeske.
Google-navigatie maakt gebruik van realtime verkeersinformatie in Google Maps voor mobiel. Het protocol dat wordt gebruikt om locatie-informatie te verzenden, wordt beschermd door een TLS-tunnel (Transport Layer Security) die de gegevensintegriteit waarborgt, zodat een aanvaller een buitenlandse telefoon niet kan controleren of informatie kan wijzigen zonder door Google te worden gedetecteerd, aldus Jeske. TLS is echter nutteloos als de aanvaller het begin van de TLS-tunnel regelt, voegde hij eraan toe.
Om het begin van de tunnel te kunnen besturen, voerde Jeske een man-in-the-middle aanval uit op een Android 4.0.4 telefoon om zichzelf in te voegen in de communicatie tussen de smartphone en Google. Wanneer de aanvaller het begin van de tunnel beheert, kan valse informatie worden verzonden zonder te worden gedetecteerd. Op deze manier kunnen aanvallers de verkeersstroomanalyse beïnvloeden, aldus Jeske.
Als een aanvaller bijvoorbeeld een route rijdt en verzamelt de datapakketten die naar Google worden verzonden, de hacker kan ze later opnieuw afspelen met een aangepast cookie, platformcode en tijdstempels, legt Jeske in zijn onderzoekspaper uit. De aanval kan worden geïntensiveerd door verschillende vertraagde uitzendingen met verschillende cookies en platformsleutels te verzenden, waarbij meerdere auto's worden gesimuleerd, voegde Jeske eraan toe.
Een aanvaller hoeft geen route te rijden om gegevens te manipuleren, omdat Google ook gegevens van telefoons accepteert zonder informatie van omringende toegangspunten, waardoor een aanvaller verkeersgegevens wereldwijd kan beïnvloeden, voegde hij eraan toe.
Een vergelijkbaar aanvalscenario kan op Waze worden toegepast, maar het is moeilijker om de navigatie van andere bestuurders te beïnvloeden, zei Jeske. Waze associeert positiegegevens met gebruikersaccounts, dus een aanvaller die meer voertuigen wil simuleren, heeft verschillende accounts met verschillende e-mailadressen nodig.
Jeske vond ook een manier om positiegegevens over te dragen aan Waze zonder gebruikersauthenticatie, waardoor de aanvaller anoniem werd, zei hij, zonder die methode verder uit te werken. Voor een aanvaller om daadwerkelijk het verkeer te beïnvloeden, moet een aanzienlijk aantal Waze- of Google-navigatiegebruikers zich in hetzelfde gebied bevinden. Als het om Waze gaat, zal dat waarschijnlijk niet gebeuren, bijvoorbeeld in de buurt van Hamburg, zei hij. Waze had echter in juli vorig jaar 20 miljoen gebruikers wereldwijd, dus er moeten gebieden zijn waar dit mogelijk is, zei hij.
Hoewel Jeske de kwetsbaarheid van andere diensten met real-time verkeersgegevens niet heeft getest, werken ze min of meer op dezelfde manier als Google en Waze, dus verwacht hij dat soortgelijke aanvallen op die systemen mogelijk zijn, zei hij.
Bedrijven die bieden navigatie-apps kunnen dit soort aanvallen te voorkomen door het koppelen van locatie-informatie aan eenmalige authenticatie die is tijd gestempeld en beperkt tot een vaste hoeveelheid tijd, Jeske zei. Dat zou het maximum aantal geldige datapakketten per tijd en apparaat beperken, wat bijdraagt aan het beveiligen van het systeem, voegde hij eraan toe.
Geretoucheerde Twitter-buy-out van Google kan zorgen over de privacy veroorzaken Google's zorgwekkende staat van dienst op het gebied van privacy zou problemen voor Twitter-gebruikers kunnen betekenen als de uitkoopgeruchten werkelijkheid worden.
Zou kunnen aanbieden Waarom Google een Chromebook met touchscreen <1 zou kunnen verkopen Google zou een eigen laptop met een touchscreen kunnen ontwikkelen. Temidden van de huidige golf aanraakvriendelijke software en nieuwe touchscreen-systemen zou de beweging zinvol zijn; Dit is waarom.
Google is misschien van plan om volgens een rapport de nieuwe golf Chromebooks af te dekken met een eigen laptop met een aanraakscherm.
Onderzoeker: Hackers zouden elektrische laders kunnen misbruiken om het netwerk te verlammen
Hackers zouden kwetsbare laadstations kunnen gebruiken om te voorkomen dat elektrische voertuigen in een bepaald gebied, of mogelijk zelfs gebruik maken van de kwetsbaarheden om delen van het elektriciteitsnet te verlammen, zei een beveiligingsonderzoeker tijdens de Hack in the Box-conferentie in Amsterdam op donderdag.