Авторизация:


Сообщество людей и технологий
Сегодня у нас: год

Уже есть аккаунт? Войти
Присоединяйся к нашему гик сообществу!

Создай свой блог, делись интересной информацией из мира высоких технологий.

Яндекс предлагает поискать уязвимости в сервисе каршеринга Яндекс.Драйв
Статьи, 10-02-2018, 03:39

Яндекс предлагает поискать уязвимости в сервисе каршеринга Яндекс.Драйв

Конкурс

С 16 по 27 мая у всех желающих будет возможность изучить сервис каршеринга Яндекс.Драйв, запущенные в феврале текущего года, на предмет уязвимостей. Можно попытаться изменить логику работы сервиса, снизить цену поездки, получить доступ к персональным данным пользователей или, например, открыть машину, когда сервис это запрещает. Победители получат денежные призы.

Для участия потребуется зарегистрироваться здесь и приехать в московский офис Яндекса. Там, на парковке бизнес-центра «Мамонтов» (по адресу ул. Льва Толстого, д.14Ас2), исследователей ждут три автомобиля Яндекс.Драйва. Пользоваться предложенными автомобилями можно дважды, по два часа подряд, либо можно сразу провести один четырехчасовой сеанс.

Участвовать в конкурсе можно как в одиночку, так и командой до трех человек. Разбирать машину Яндекс.Драйва или подключаться к ней с помощью кабеля запрещено. Кроме того, участникам потребуется аккаунт Драйва — по одному на команду. Регистрация в сервисе под этим аккаунтом должна быть пройдена полностью.

Победителей выберут сотрудники Яндекс.Драйва и службы информационной безопасности Яндекса. В первую очередь при выборе будет учитываться критичность найденных проблем, а не время поиска. Награждение состоится 29 мая, в рамках ежегодной конференции Яндекса Yet another Conference, в зале «Информационная безопасность». При желании можно будет продемонстрировать использованные эксплоиты гостям конференции. Призовой фонд конкурса распределится следующим образом:

  • 1 место — 500 000 рублей;
  • 2 место — 300 000 рублей;
  • 3 место — 200 000 рублей.

Как устроен Яндекс.Драйв

Специалисты Яндекса объясняют, что машина Драйва или другого подобного сервиса отличается от обычной тем, что в ней установлен специальный блок телематики. С одной стороны, он подключен к устройству управления всей электроникой автомобиля — так называемой CAN-шине. С другой, блок находится на постоянной связи с сервером телематики. Сервер анализирует полученные с блока данные и отправляет обратно сигналы управления: открыть или закрыть автомобиль, включить зажигание, завершить аренду и др. Все перечисленные действия согласовываются с основным клиентским бэкендом, где работает биллинг, а также хранится база всех клиентов и заказов. Приложение на вашем телефоне, в свою очередь, тоже взаимодействует с клиентским бэкендом.

В Яндекс.Драйве существует и еще один компонент — платформа Яндекс.Авто для мультимедиа-систем с голосовым управлением. В нее встроен Навигатор, Музыка и Радио. Поскольку платформа работает с пользовательскими данными, мы стараемся делать все возможное, чтобы они были в безопасности и корректно удалялись с устройства между сессиями аренды.

Главные проблемы в безопасности каршерингов

Использование GPRS и EDGE
До недавнего времени каршеринговые компании — и в России, и за рубежом — использовали блоки телематики, которые исходно не предназначались для контроля за передвижением автомобилей по городу. Первопроходцы отрасли приспособили под свои нужды уже существующие устройства для сопровождения грузовиков, бензовозов, тракторов и другой тяжелой техники. Фирма, которая занималась, скажем, сельским хозяйством, могла узнать, где находится трактор, оценить скорость движения и отправить трактористу сообщение о том, что нужно ускориться.

В случае с тяжелой техникой блок телематики не считывал с CAN-шины столько же данных, как в каршеринге, и это происходило с меньшей периодичностью. Как следствие, для пересылки данных хватало 2G-модема. Канал сотовой связи 2G не только легко перехватывается (например, через поддельную базовую станцию, позволяющую подменить сигналы управления автомобилем), но и наиболее уязвим при падениях сотовой сети. Провайдеры знают, что большинство клиентов уже перешли на 3G- и LTE-устройства, считают 2G скорее техническим каналом и в случае проблем восстанавливают его в последнюю очередь. Удобная аренда накладывает иные требования — в блоках появилась поддержка LTE.

Кроме того, старые блоки позволяли наблюдать за техникой, но не управлять ей. Возможность удаленного управления машиной тоже требует дополнительных механизмов безопасности, причем не только в части защиты устройств, но и в различных интерфейсах.

Отсутствие шифрования
Блоки для тяжелой техники несовершенны еще и потому, что обладают слабой производительностью. В них нет процессора, способного поддерживать зашифрованное соединение с сервером — все управление машиной происходит через незащищенный канал. Современные блоки позволяют решить и эту проблему тоже.

Отсутствие надежности уровня больших IT-компаний
Google, Яндекс и другие игроки привыкли всеми силами обеспечивать стабильность работы сервисов. Например, распространена репликация: когда какой-нибудь из дата-центров перестает отвечать из-за аварии, то пользователи — благодаря копиям своих данных в других дата-центрах — ничего не замечают. Фирмы, которые занимаются только каршерингом, реже применяют репликацию.


Другие новости по теме:


Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться и принять участие в жизни нашего интернет-сообщества, либо войти на сайт под своим именем.
Добавьте комментарий, Ваше мнение очень важно:

Имя:*
E-Mail:
Комментарий:
Вопрос:
rgjrg
Ответ:*
Введите два слова, показанных на изображении: *


Самое интересное:
Гику на заметку:
Не iPhone самый продаваемый телефон в истории
Новый планшет BlackBerry PlayBook
Особенности ремонта айфонов своими руками
Переделка дачи
Как выбрать недорогой смартфон
Зависимость от... мобильного телефона и телевизора
Востребованные чехлы для ipone 4
Apple. Истинный лидер или дань моде?
Чехлы для смартфонов и айфонов
Вопрос:

Какой операционкой Вы пользуетесь?

Windows 8
Windows 7
Windows Vista или XP
Linux
Mac OS
Другой

 


2016 © Cig-bc.ru - Сообщество людей и технологий.

Все права защищены.

При любом использовании, копировании и распространении материалов активная обратная ссылка на Cig-bc.ru обязательна!

Категории:

Новости IT
Гаджеты
Железо
Софт
Игры
Информация:

О проекте
Регистрация
Статистика
Карта сайта
RSS
Контакт:

Обратная связь
Email: admin@cig-bc.ru
Email: alexk@cig-bc.ru
ICQ: 336565647