据外媒 8 月 1 日报道，安全公司 McAfee 高级威胁研究团队的三名研究人员 Mickey Shkatov、Jesse Michael 与 Oleksandr Bazhaniuk 近期在拉斯维加斯举办的 DEF CON 黑客大会上发表演讲，指出德国大陆集团（Continental AG）生产的远程控制单元（TCU）存在两处安全漏洞，或将危及宝马、福特、英菲尼迪与日产部分汽车。 TCU 是现代汽车用于数据传输的 2G 调制解调器，实现汽车与远程管理工具（如Web面板与移动应用程序）之间的通信。 第一个漏洞（CVE-2017-9647）：影响使用 S-Gold 2（PMB 8876）蜂窝基带芯片组的 TCU ，允许黑客利用 AT 指令处理过程中存在的堆栈缓冲区溢出条件物理访问易受攻击的车辆系统，并在 TCU 基带无线电处理器上执行任意代码。 第二个漏洞（CVE-2017-9633）：允许黑客利用临时移动用户识别码（TMSI）远程访问与控制存储器，并在 TCU 基带无线电处理器上远程执行任意代码。 调查显示，2009 至 2010 年生产的数款宝马车型、配备较为陈旧的福特 P-HEV、2013 年生产的英菲尼迪 JX35，以及 2014 至 2016 年生产的英菲尼迪 QX60 混合动力等车型均受 TCU 漏洞影响。 对此，相关汽车制造商表示，上述漏洞仅提供车辆娱乐信息系统访问权限，并不会对汽车关键安全功能造成直接影响。目前，英菲尼迪与日产汽车制造商承诺将通过售后服务免费帮助所有受影响客户禁用 2G 调制解调器，宝马也将为受影响客户提供类似安全服务措施。然而，福特早于 2016 年就已禁用 2G 调制解调器。 原作者：Pierluigi Paganini， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 7 月 31 日报道，网络安全公司 Endgame 数据科学技术总监 Hyrum Anderson 近期在拉斯维加斯举办的 DEF CON 黑客大会上展示了如何利用 OpenAI Gym 机器学习系统创建一款规避反病毒（AV）引擎检测的恶意软件。 OpenAI Gym 是一款用于开发与比较强化学习算法的工具包，可用于编写 PE 文件操控代理、以便基于各类黑客活动提供的赏金采取特定操作直至实现最终目标。 Anderson 表示，所有机器学习系统均存在盲区，具体攻击威力取决于黑客真实技能水平。在此次研究中，Anderson 与他的团队通过微调 Elon Musk 的 OpenAI 框架，更改部分合法代码并将其提交至安全检测程序，以提高恶意软件规避检测的能力。 此外，研究人员在对该款恶意软件进行 15 个小时调试后发现，超过 10 万个恶意软件样本能够规避某未知名安全引擎检测，其中 16％ 的恶意软件样本可突破安全系统防御体系。目前，Anderson 已在 Github 公布恶意软件代码，并鼓励其他研究人员踊跃提出改进意见。 原作者：Pierluigi Paganini， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，SparkFun Electronics 黑客于近期在拉斯维加斯举行的 DEF CON 安全会议上利用廉价机器人在半小时内破解了 SentrySafe 保险箱密码。 研究人员表示，机器人能将保险箱的密码组合数从一百万减少到一千，然后自动快速尝试直至破解。据悉，黑客利用 3D 打印组件及 200 美元的机器人匹配多数品牌保险箱。 此外，黑客还利用保险箱数字表盘的凹槽大小和设计允许的误差范围大幅降低密码的可能组合数。 稿源：solidot奇客，封面源自网络；