汽車防盜警報系統漏洞,讓駭客能夠劫持汽車

Pen Test Partners的資安研究人員發現由第三方行動應用程式管理汽車警報的漏洞。據報此漏洞影響到了約300萬輛使用這些智慧物聯網(IoT)裝置的汽車。以下是關於這些漏洞你所需要知道的資訊。

[相關新聞:晶片鑰匙漏洞讓駭客可以打開速霸陸汽車]

這些是什麼漏洞?

這些是管理智慧警報功能的應用程式API內的IDOR漏洞(insecure direct object reference)。當不安全應用程式暴露出對內部元件的數值、資料或引用時就可能發生。例如,IDOR漏洞可以洩漏儲存在應用程式後端的資訊。

在智慧警報案例中,API內的IDOR漏洞無法正確驗證對應用程式的請求。影響智慧警報的漏洞已經披露給受影響的廠商並加以修復。

繼續閱讀

台灣資安大會》今年絕不能錯過的14 場高能量研究報告/6 場實機課程

趨勢科技是唯一擁有大型資安事件處理與應變能力的廠商,身為臺灣資安大會共同主辦, 除了開幕主題演講,還為您帶來👇️👇️👇️

👍️14 場高能量研究報告

趨勢科技身為臺灣資安大會共同主辦,除了開幕主題演講,還為您帶來有14 場高能量研究報告

資安界最火熱的議題 : 物聯網攻擊、製造業與車聯網資安、OT 攻擊、AI 資安的風險、MDR、假新聞的內部運作、GDPR 實務經驗、軟體無線電攻擊、2018  世足賽的網路威脅…等

👍️6 場實機課程

主動掌握攻擊跡象,建立調查防禦機制和正確資安觀念

👍️攤位技術交流

透過 VR 體驗 EDR/MDR 解決方案,還有免費咖啡、時尚電腦包天天抽,走過路過千萬別錯過

看詳細議程

歷年十大資料外洩事件

儘管人們對 資料外洩事件的新聞似乎已逐漸感到麻痺,但隨著更嚴格的資料保護法規上路,保護使用者資料安全反而更加重要。現在,企業發生資料外洩不但必須通報,而且若企業會經手歐盟人民的資料,將還可能面對歐盟通用資料保護法 (GDPR) 最高年營業額 4% 的罰鍰。

光是今年就有不少知名品牌發生資料外洩,如:Macy’s、 Bloomingdale’s 以及  Reddit。其實,資料外洩對社會大眾而言,是相當切身的問題。因為光是一次的資料外洩就很可能造成數百萬、甚至數億筆個人資料及敏感資訊外流,而且受影響的不光只有遭到入侵的企業而已,甚至包括每一個資料遭到外洩的個人。

何謂資料外洩事件?

所謂資料外洩事件,是指駭客入侵某個資料來源並且偷走敏感資料的事件。竊取的方式包括直接進入企業內部然後偷走電腦或網路上的檔案,或者從遠端突破企業的網路安全防禦,進入其網路內部竊取資料。企業遭駭客攻擊的情況多半為後者,一般來說,資料外洩事件的攻擊過程如下:

  • 研究:駭客會先研究目標企業的人員、系統或網路是否存在任何資安缺口。
  • 攻擊:駭客接著利用網路或社交工程攻擊的方式試圖突破缺口。
  • 網路攻擊/社交工程攻擊:所謂的網路攻擊是指駭客利用電腦基礎架構、系統與應用程式的弱點來滲透企業網路。社交工程攻擊是指誘騙企業的員工,讓員工在不知情的狀況下引兵入關,讓駭客進入企業網路。例如,員工可能被騙提供了自己的帳號密碼,或者開啟了某個惡意附件檔案使得電腦感染遭到感染。
  • 資料外傳:駭客一旦進入企業的電腦,就能在內部網路進一步遊走,進而找出企業機密資料所在。當駭客成功取得資料並且將資料外傳之後,攻擊就算完成。


十大資料外洩事件有哪些?

下表是截至目前為止所知的十大資料外洩事件:

繼續閱讀

拒絕成為下個受駭者!全球關鍵基礎設施成資安攻防重點,工業資安潛在風險亦不容小覷


趨勢科技呼籲應正視駭客技術,檢視既有資安缺口、掌握克敵制勝先機!

【2019年3月18日台北訊】科技進步加速了工業製程,帶來高度生產效能,卻也衍伸資安威脅!近年來各國關鍵基礎設施遭遇駭客攻擊事件頻傳,全球網路資安解決方案領導廠商趨勢科技(東京證券交易所股票代碼:4704) 針對工業設施、關鍵基礎建設可能面臨的風險進行了系列深入研究,同時對於無線電安全於工業中的應用,也發表了前瞻性的觀察。趨勢科技在共同主辦的台灣資安大會演講中呼籲,無論是政府、企業或民間單位,皆應具備洞察全球威脅趨勢的敏感度,於早期規劃時置入資安措施,對既有資安缺口進行全盤檢視,才能制定有效的防護策略,掌握克敵制勝先機!

全球關鍵基礎設施成資安攻防重點,工業資安潛在風險亦不容小覷

近年通訊、能源、水、電、交通系統等維繫民生與國家機器運轉的關鍵基礎設施成為駭客熱門的攻擊目標,如烏克蘭電廠被駭導致大停電、美國核電相關公司遭受駭客攻擊等,這些國家級的基礎建設在駭客眼中已成為新肥羊,駭客透過偽造網址、分散式阻斷服務攻擊(DDoS)或癱瘓金流資訊系統等方式做為勒索的籌碼,一但淪陷將癱瘓民眾日常生活機能,造成經濟損失,衍伸出重大安全問題,甚至被有心人士利用來達成某些特定政治目的!

繼續閱讀

臺灣資安大會明天登場,趨勢科技主題演講:【恐懼的總和-當關鍵基礎建設掌控於駭客股掌之間】精采預告

2019 臺灣資安大會明天登場,趨勢科技主題演講【恐懼的總和-當關鍵基礎建設掌控於駭客股掌之間】精采預告

臺灣資安大會明天登場,趨勢科技主題演講:【恐懼的總和-當關鍵基礎建設掌控於駭客股掌之間】精采預告

大眾交通、電力公司,這些攸關經濟民生的基礎建設,在駭客眼中是如何不堪一擊💔,由資安大會最受歡迎講者張裕敏,帶您認識駭客最新技術、檢視既有資安缺口,邀請您一聽為快😄

此外,我們還有 14 場精采演講+6 場Hands-on Labs(Target Ransom-無須惡意程式的目標式勒索攻擊手法),敬邀參加! 看詳細議程