пентест автомобильных приложений

  1. Сергей Попов

    Статья Уязвимости Connected Vehicle API: CVE-разбор и пентест автомобильных приложений

    На аудите REST API одного европейского автопроизводителя был подменён VIN в GET /vehicles/{vin}/status - и получены GPS-координаты, уровень топлива и статус замков чужого автомобиля. Один HTTP-запрос, один изменённый параметр. Backend просто не проверял, принадлежит ли VIN аутентифицированному...
  2. Сергей Попов

    Статья Безопасность подключённых автомобилей: пентест мобильного приложения от реверса APK до удалённых команд

    Несколько CVE, рабочие end-to-end exploit-цепочки, fleet-wide impact: от захардкоженных credentials в APK до удалённой разблокировки дверей, доступа к камерам и запуска двигателя. Серия работ Curry et al. («Web Hackers vs. The Auto Industry», samcurry.net, январь 2023) показала, что отправной...