Adm1ngmz May 23 at 15:27

Взлом моей машины, и, вероятно, вашей — уязвимости в приложении Volkswagen

15 min

2.8K

Information Security*Bug hunters*

Translation

Comments 5

Belkogoth May 23 at 15:34

Мдее, уж от кого, а от педантичных немцев такой подставы ожидать странно, тем более что от самого крупного автоконцерна Германии. В век https, ssl, aes настолько убого реализовать передачу.. В чем проблема-то всё заталкивать в шифрованный туннель с закрытым ключом? Индусы уже много денег просят, а еще дешевле погромистов попросту нет на планете?))) И это, пардон, пр-ль автомобилей. Сейчас копеечная камера умеет в облако полностью шифрованный траффик слать.

Они так и на скандал нарваться могут, а за ним рынки свои уронить. Что не особо позитивно на фоне и без того неприятных для VW тенденций, их китайцы же со своего рынка и вытесняют помалу.

INSTE May 23 at 15:58

В Германии вообще принято следовать правилам, и это принимает парадоксальные формы (для тех, кто не знаком с менталитетом). Если на сайте написать явно "запрещаем взламывать сайт или использовать его неочевидным образом", то и защиту приделывать не нужно - если его кто-то "взломает", то к нему просто можно с маски-шоу заходить и на 10 лет в кутузку - он же НАРУШИЛ ПРАВИЛО и опасный хакир.

И это не шутка, год назад проскакивали скриншоты из devtools с сайта Берлинской миграционки, где просто через alert просили не использовать API сайта для создания ботов, потому что это плохо и нарушает правила пользования (и никакой другой защиты, разумеется, не было сделано).

Также и с машиной. Она не ваша? Значит просто не добавляйте ее к себе в приложение, у вас же нет на это разрешения от владельца. И дело в шляпе.

ildarz May 23 at 16:10

А причем тут шифрованные туннели? Баг , судя по тексту, был в том, что API для начала позволял зарегистрироваться тупым перебором OTP, а потом раскрывать данные, которые надо и не надо. Причем в переводе почему-то исчез кусок о том, что автор сначала пытался получить доступ легальным образом.

outlingo May 23 at 15:47

от педантичных немцев

Конечно

ŠKODA Auto Volkswagen India Pvt Ltd

Аутсорс, эффективный менеджмент - все как мы любим. Кстати - а откуда берутся анекдоты про индусский код? Уверен, их придумывают расисты и нацисты.

Metotron0 May 24 at 20:05

Всякий раз удивляюсь, как продвинулись автотехнологии. Давление в колёсах через приложение, удивительно. Для этих людей пожержанная машина явно моложе десяти лет.