URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 139021
[ Назад ]
Исходное сообщение
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 66 уязвимостей автомобильных систем"
Отправлено opennews , 23-Янв-26 11:34 
Подведены итоги трёх дней соревнований Pwn2Own Automotive 2026, проведённых на конференции Automotive World в Токио. На соревнованиях были продемонстрированы 66 ранее неизвестных уязвимостей (0-day) в автомобильных информационно-развлекательных платформах, операционных системах и устройствах зарядки электромобилей. При проведении атак использовались самые свежие прошивки и операционные системы со всеми доступными обновлениями и в конфигурации по умолчанию...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64662

Содержание
Сообщения в этом обсуждении
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 11:34 
Видимо производители не понимают как надо писать код, используют костыли и велосипеды, пытаются закрывать прошивки от конкурентов... В результате куча ошибок и уязвимостей.
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 11:39 
> Видимо производители не понимают как надо писать код, используют костыли и велосипеды,

К сожалению стандарты овнокодинга в автомотиве еще живут.
Тойопта передает привет.

> пытаются закрывать прошивки от конкурентов.

То ли дело СПО!
Вон недавно в самом ГНУшном телнете нашли бекдор который жил 10 лет.

Не от конкурентов, а от тyпых пользователей.

"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено penetrator , 23-Янв-26 12:06 
они везде живут, а автопроизводители окунулись с головой в чан, в котором раньше не плавали

поэтому все эти медиа системы и умные автомобили мне нафиг не нужны в моем тракторе

"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 13:08 
> они везде живут, а автопроизводители окунулись с головой в чан, в котором раньше
> не плавали

Им тоже захотелось стать connected и диктовать ползователям подписки и что там еще за подогрев сидушек. А скоро и за моточасы ECU, ибо теперь вы арендуете по цене собственности, во! Офигенный же бизнесплан :P.

"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 13:44 
То ли, его ненадо pwnить, чтоб заownить. Просто бери и смотри.

PS Кому этот telnet нужен, чтоб в нём специально искали? С начала нулевых он уже был никому не интересен.

"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 11:39 
Самое простое правило: не плодить сущности.
Т.е. брать уже готовое и допиливать под авто в рамках стандарта для всех.


"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 11:47 
Судя по новости в стандарте прописано "выходите за пределы буфера и дарите рут кому угодно"))
А тех кто нарушает лишают лицензий на выпуск самобеглых повозок.
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 14:58 
Похоже, что это написано в твоём личном стандарте.
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 12:47 
Самое простое правило писать все от начала до конца самому тогда безопасно. Если берешь на стороне оно уже небезопасно и можно даже не мечтать что когда-то станет безопасно.
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 13:36 
Необязательно. В редких случаях можно что-то взять, но это все проверять нужно, а не так, как веб-обезъяны делают, когда используют для мелкой задачи огромадную да еще и внешнюю библиотеку.


"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено автолёбитель , 23-Янв-26 15:02 
Я всегда список покупок сам составляю от начала до конца на бумажке. И всё равно сегодня абздался и купил две упаковки сарделек вместо одной. Уязвимости уже внутри нас бай дизайн.
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 15:07 
Человеческий фактор имеет место быть, разумеется. Тут даже спорить не о чем. Другое дело, что программа должна быть максимально простой и правильно реализована. Вот о чем я толкую.


"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 15:17 
> И всё равно сегодня абздался и купил две упаковки сарделек вместо одной. Уязвимости уже внутри нас бай дизайн.

Просто ты подсознательно хотел больше сарделек.
Возможно организму не хватает мяса.
Но сказать прямо он не может.


"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 13:14 
Во-первых, на*ер тех, кто заливает про стандарты.
Во-вторых, здесь далеко дело не в сущности. Здесь нужно понимать элементарные вещи в программирование, а до большинства даже не доходит почему не должно быть внешних зависимостей у программы. Все библиотеки должны быть внутри программы.
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 14:53 
Ну забандлите вы все библиотеки внутрь программы, но это не обеспечит вам безопасности. В них, всё равно, могут быть уязвимости.
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 15:05 
Потому что не нужно тупо тащить библиотеки. Само собой разумеещееся, что их нужно тогда самостоятельно поддерживать, когда они будут в составе программы, а не тупо копировать и вставлять из другого проекта.
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 15:23 
> Видимо производители не понимают как надо писать код

это последнее о чем они думают, разве конечного покупателя авто волнует на каком языке там у него мультимедийная система написана?

"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 11:46 
> цепочки из трёх уязвимостей, связанных с чтением из области вне буфера, исчерпанием свободной памяти и переполнением буфера
> за эксплуатацию уязвимостей, приводящих к переполнению буфера
> за эксплуатацию выхода за границу буфера
> за уязвимость, приводящую к переполнению буфера

Кажется они вообще не обучаемые /_-
А потом машинки угоняют или те просто самоускоряются.

"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 11:58 
Это все клятый раст! Ото они, растовики подбрасывают такие ошибки в С код. Потому что все С разработчики умеют управлять памятью.
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 12:46 
Причем тут язык?
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 13:13 
в том, что ржавчина пытается предотвратить переполнения буфера и тп
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 13:09 
> Это все клятый раст! Ото они, растовики подбрасывают такие ошибки в С код.
> Потому что все С разработчики умеют управлять памятью.

Как показала соседняя новость - "известные кренделя" в прошивках и какое там еще отсутствие проверки целостности - растовики-затейники умеют ничуть не хуже.

"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 13:27 
> А потом машинки угоняют или те просто самоускоряются.

Ииии... сколько было угнано через уязвимость, а не разбитое стекло? Сколько раз авто самоускорялось из-за оверфлоу, а не из-за перепутанной педали?

"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 13:34 
> сколько было угнано через уязвимость, а не разбитое стекло?

Судя по угонам хюндаек или киа, то проще через уязвимость.

> Сколько раз авто самоускорялось из-за оверфлоу, а не из-за перепутанной педали?

Перепутанная педаль - водитель ССЗБ.
А вот плохой код - тойопта попала на 10 лярдов не просто так.

"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 14:15 
При длинном нажатии на тормоз на льду благодаря АБС иногда происходит ускорение.
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 11:47 
Теперь понятно, почему столько аварий на дорогах.
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 14:17 
Самые тяжелые аварии из-того, что кто-то додумался на одной дороге половину авто пустить в одну сторону, половину - в другую. Вместо того, чтобы рядом положить 2 разные дороги, эффективно разделенные.
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 11:56 
Хотя бы на Ada писали... Что уж говорить про SPARK.
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 12:19 
На ада и на всех остальных мало распространненных языках ситуация была бы еще хуже.
И дело не в языке а в том что разработчиков на него сложнее найти. Что привело бы к ситуации когда ради фич забивали бы полностью на безопасность так как людей не хватает.
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 12:21 
> Хотя бы на Ada писали... Что уж говорить про SPARK.

Хотя бы??? А платить кто за это будет?
Ада разрабы привыкли к жирным контрактам от армейце и авиации.
Они не будут ковыряться в информационно-развлекательных системах за копейки, еще и с вечно торопящем манагером.

"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Кошкажена , 23-Янв-26 13:05 
> Ада разрабы привыкли к жирным контрактам от армейце и авиации.
> Они не будут ковыряться в информационно-развлекательных системах за копейки, еще и с вечно торопящем манагером.

Будут те, кто готов, но вакансий просто нет.

"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено птичкамуж , 23-Янв-26 15:06 
Мой кот уже готов. Вон сидит нализывает. Есть вакансия?
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Кошкажена , 23-Янв-26 13:04 
Вакансий нет. Будут вакансии, будут писать.
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 13:34 
Вакансий на Ada/Spark никогда не было и не будет, потому что применяется она в таких областях, куда не набирают по объявлениям с улицы.
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Кошкажена , 23-Янв-26 15:15 
> Вакансий на Ada/Spark никогда не было и не будет, потому что применяется
> она в таких областях, куда не набирают по объявлениям с улицы.

Что мешает их применить в других областях, например, из новости?

"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 15:29 
Вы, я посмотрю, владелица собственного софтверного бизнесса и у вас найдутся такие вакансии? Нет? А что же вам так мешает?
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено нормчел , 23-Янв-26 15:46 
Стране нужны грамотные сантехники и операторы спецтехники, а не вот это вот ваше всё.
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 11:56 
Старый ржавый Жигуль будет понадежнее любого теслазикра. Кстати как там порше и бэхи, всё ещё в состоянии кирпича без спутника дяди?
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 11:59 
> Старый ржавый Жигуль будет понадежнее любого теслазикра.

Особенно при аварии.
В тесле есть шанс получить травмы или инвалидность.
А в жигуляторе сразу наглухо.

"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 12:22 
Ага щас. В тесле тебя зажмет грудой железа. И даже если ты под ней чудом останешься жив то выпиливать тебя будет несколько бригад спасателей.

В жигулях же при аварии тебя просто выкинет из салона на мягкую траву. Прорвав ржавый в труху кузов.

"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 12:30 
Тесле даже не нужно попадать в аварию чтобы сгореть нетушимым пламенем.
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 13:17 
> Тесле даже не нужно попадать в аварию чтобы сгореть нетушимым пламенем.

Однако владелец обычно имеет достаточно времени чтобы с...ться нафиг до того как превратиться в шашлык. А вот в жигуле когда вопрос в том чтобы (не)превратиться в отбивную - такая опция увы, обитателям пепелаца недоступна. И в сводках ДТП они неизменно выступают в роли бифштекса быстрого приготовления. Может и не прожаренного, конечно, но бифштекса же.

"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 14:31 
не от того ли что их больше чем тесел?
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 14:41 
Или от того, что на Теслах, как-то, по трассам и не ездят. Берегут-с нажитое непосильным трудом, да и подзаряжаться там негде.
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 14:46 
> имеет достаточно времени чтобы с...ться нафиг

По факту - не имеет, т.к. ручки утоплены в корпус двери и не работают, когда машинка горит синем пламенем. И снаружи тебе ничем помочь не могут - ручек-то нету.

"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 15:38 
Передвижной крематорий на колёсах.
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 13:27 
ассистенты с AI лучше кожаного мешка управляют ато?.
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 12:44 
Представь себе что кроме надёжности есть ещё куча факторов, например комфорт? Страдать, но с надёжным это же так скрепер тебя так учили в школе и в детсада. Ты обязан и должен страдать.
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 13:14 
> Старый ржавый Жигуль будет понадежнее любого теслазикра.

Видел я как у такого "надежного" на скорости 60 - колесо отвалилось нахрен. Само. Видимо и там болты тоже кувалдой закрутили. Ему очень повезло что он не встретился при этом с фонарем или другим авто. Так что отделался только жестким снопом искр и испугом.

"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 12:42 
Это как дешёвые фокусники, которые достают кролика из шляпы делая вид что его там до этого не было. Хотя они сами этого кролика туда и положили до этого.  

"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 13:38 
> они сами этого кролика туда и положили до этого

С чего ты взял? Это же элементарная бритва Хэнлона: не приписывайте злому умыслу то, что вполне можно объяснить глупостью.

"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено автолёбитель , 23-Янв-26 14:58 
Квантовая суперпозиция, слыхал? Кролик и был и не был в шляпе. Пока фокусник его не достал оттуда. Он мог отказаться доставать кролика и тогда его бы там не было.
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено Аноним , 23-Янв-26 15:26 
так в мошенничестве всегда должен был быть сговор, вот и сговорился с кроликом :)
"На соревновании Pwn2Own Automotive 2026 продемонстрировано 6..."
Отправлено автолёбитель , 23-Янв-26 14:53 
Руки прочь от нашего с Ричардом бесплатного автобуса!