В сервисе Subaru STARLINK, позволяющем через мобильное приложение, контролировать состояние автомобиля, выявлены проблемы с безопасностью, дающие возможность получить неограниченный доступ ко всем автомобилям и учётным записям клиентов из США, Канады и Японии. К панели администратора STARLINK оказалась возможно получить доступ через уязвимость в механизме восстановления забытого пароля. Для получения доступа к автомобилю через панель администратора STARLINK достаточно знать телефонный номер, email, номер водительского удостоверения или фамилию с ZIP-кодом владельца...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62627
>> и для обхода двухфакторной аутентификации достаточно просто убрать в JavaScript-отладчике слой с модальным диалогомЭто пять! ну да, мы же проверили в нашей функции ответ ? А что функция выполняется на стороне потенциального атакующего, ну так кто ж об этом думает то..
вообще давно замечено, что современные разработчики под веб через одного не могут ответить на вопрос, где работает их функция, и вот этот запрос к апи от их приложения, он поедет от клиента или от сервера.
ну и это оттуда же
> Данные отправлялись без привязки к проверочному коду, подтверждающему владение email.мы уже проверили емейл, если попали в эту функцию...
ага, ща..
> Это пять! ну да, мы же проверили в нашей функции ответ ?так они даже и не проверяют ничего.
> А что функция выполняется на стороне потенциального атакующего
Ему бы пришлось попердолиться, подделывая ее возвращаемое значение, причем методом тыка и с риском вызвать срабатывание каких-нибудь логов.
А тут ничего не проверялось (ну то есть в функции-то проверялось, но результат самой функции - "и нафиг нам не нужон!") - страница ПОД модальным диалогом УЖЕ отрисована со всеми кнопичками и детальками и персональной инфой, вот спасибо. Так научились НЕ делать даже т-поватые репортеришки из fashington post, но не генитальная обезьянка нанятая субарой за три йены.
Я уж молчу что там, очевидно, нет никакой вторичной авторизации - т.е. ни токена, ни какого либо id - который должен у нормальных людей разумеется навешиваться ПОСЛЕ аутентификации, а не в процессе прямо, еще до запроса, и угон чужой сессии тоже, видимо, прекрасно сработает, даже когда они заменят баннер чем-то более надежным.
Ну почему не проверялось, проверялось. в функции на стороне клиента... понятно что атакующий скромно проверку пропустил и сразу отправил на сервер "давай пароль" потом так же скромно пропустил проверку второго фактора... а дальше совершенно не скромно разблокировал реальный автомобильбыл както давно давно у нас студент на подработке.. и ему преподы выдали чтото типа тестов.. как этот тогда стало модно "на компьютере". по факту веб страничка с вопросами и крыжикамих (x) для выбрать правильный ответ.. При нажатии Ctrl-U там были обнаружены все правильные ответы, которые тупо сравнивались с тем, что введено и в конце отправлялось число правильных ответов... Понятно, что с таким подходом все догадливые получили свои пятёрки по опросу. но там на кону в общем то ничего ценного. дальше один хрен был экзамен, где дядя спрашивал лично. у дяди не забалуешь, Ctlt-U не работает.. а тут бац, и нате вам покататься авто..
У нас веселее тесты сделали - они работали на вычитание балла каждого неправильного ответа из максимальной суммы баллов
Т.е достаточно было просто перейти на страницу с результатом и получить макс балл, ведь ни одного неверного варианта не выбрал )
Так, может быть, тест именно в этом и состоял, чтобы отобрать тех, кто нажимает Ctrl+U?
Проблема в том что все нанимают дорогих разработчиков и не нанимают дорогих тестеровщиков или безопасников.
Да и дорогих то не все. В массе корпы разрабатывают свои поделия через тестовые
Возможно, они не нанимали никого и понадеялись на авось.
Ты думаешь это только под web? Толпа таких-же недалеких на rust недопрограммирует..
Такие недалёкие rust обычно не знают - он для них "слишком сложный синтаксис".
> Такие недалёкие rust обычно не знают - он для них "слишком сложный
> синтаксис".Потрясающе спалился... Описал себя прямо одной фразой.
А синтаксис осложняется для недопрограммистов, которые не знают ничего кроме библиотечных функций, не знают как сложить две строки и им надо что-то b="Строка 1"+"Строка 2". Или еще какую-либо уродливую запись из Rust.
А язык программирования для профессионалов, воспитанных на Вирте, на Кнуте и т.п. Он максимально прост, так как в общем библиотек общего назначения профессионалу не нужно, он может воссоздать базовые алгоритмы из головы с нуля...
Жду Neuralink подключенный к Starlinkу ;)
Баги были всегда. Чем больше функционала -> тем больше багов. Нас ждёт увлекательное будущее, когда ваша машинка, вдруг станет не ваша и поедет самостоятельно с вашего двора по своим делам ))))
Чудак, это - не баги. Это вопиющая неквалифицированность.Когда разработка хрени, управляющей, на минуточку, чужими автомобилями - доверена веб-м@к@керу.
> Чудак, это - не баги. Это вопиющая неквалифицированность. [...] доверена веб-м@к@керу.Да не важно, кому доверена разработка. Тут сама идея является чистым, первозданным идиотизмом.
Не, это среднее количество багов в степени неквалифицированности. Погодите погодите, вот когда нейронки нормально освоят сканить и ломать код - вот тогда начнется поистине веселье.
веселье начнется когда они начнут этот код - писать. Как всегда, галлюцинируя и не решая задачу, а подгоняя ответ.А проверять за ними станет некому, потому что все у кого на это хватало бы квалификации, сбегут в курьеры.
В будущем у машин не будет руля. И принадлежать они будут компании каршеринга. Свой автомобиль в городе это будет моветон.
Свой автомобиль, как и мясо не из насекомых, будет не только лишь у всех...
Ах да, еще CBDC вместо денег.
"Сияющее будущее, в котором у вас не будет ничего, но вы будете счастливы".
> Свой автомобиль, как и мясо не из насекомых,мясо даже из насекомых еще надо будет заслужить.
> "Сияющее будущее, в котором у вас не будет ничего, но вы будете счастливы".
это недостоверная информация. На самом деле хорошие наручники прекрасно заменят счастье.
Сначала каршаринг заменят автопилотные такси. Потом, с развитием транспорта, связи, роботизации и удаленной работы/учебы, города опустеют.
Крайним случаем такого развития можно считать Солярию в "Обнаженном солнце" Азимова, когда личный транспорт людям перестает быть нужен. Разве что для отдыха и развлечений.
> В будущем у машин не будет руля. И принадлежать они будут компании
> каршеринга. Свой автомобиль в городе это будет моветон.Правильно, авто - не ваше. Дом/квартира не ваши. Земля не ваша. Компьютер - и тот не ваш, достаточно посмотреть как AMD и Intel с PSP и ME к индейцам относятся, прописав ключ с топовой ауторити - себе. Прям с фабы. Так что вот вам, аренда по цене собственности. Офигенная инновация.
Вопрос: а что у вас в результате - своего? Ах да, лохи которые не смогли выплатить кредит после того как их уволили - иногда находят на него ответ. Я бы даже сказал - довольно часто. Вон там. Под мостом.
> Нас ждёт увлекательное будущее, когда ваша машинка, вдруг станет не ваша и поедет самостоятельно с вашего двора по своим деламБудущее совсем близко. https://www.kommersant.ru/doc/5843783
Поэтому просто не надо собирать персональную информацию, если она вам не нужна. Не надо вывешивать удалённое управление автомобилем на сайт-портал, он обязательно будет взломан. Умный дом или умный автомобиль - это не то, что стоит шарить на общих ресурсах.
> Поэтому просто не надо собирать персональную информацию, если она вам не нужна.
> Не надо вывешивать удалённое управление автомобилем на сайт-портал, он обязательно будет
> взломан. Умный дом или умный автомобиль - это не то, что
> стоит шарить на общих ресурсах.а как еще, если пипл жаждет - тилипончиком?
> а как ещена собственном сервере. пусть туда тилипончик коннектится. Можно дома расположить, установив там приложение, можно на какой-нибудь виртуальный хостинг. Забить в настройки тилипончика соответствующий IP - и всё работает.
> позволяющем через мобильное приложение, контролировать состояние автомобиляБ***ь, ну вот как до такой идею можно было додуматься? Как?
И, главное, как такую дичь вообще пропустили на рынок?
Волосы дыбом встают.
э... приятель, у меня для тебя паршивые новости - я не могу найти нормальную сигналку (3d party, не штатную) БЕЗ этой (и разной другой, вредной) фигни. Все очень любят заводить свою тачку тыкая пальчиком в телефон. (Или что у них там сейчас модно - хл36алом в него светить?)И уже всерьез думаю выкорчевать нахрен то что у меня установлено и вернуть обратно центральный замок без охранных функций, штатно идущий с этой телегой. Потому что ну это п-ц какой-то.
Но у меня - ржавый доисторический хлам. Сейчас тачки без какого-нибудь "my pohaval" в ШТАТНОМ комплекте только ульяновский завод выпускает.
В частности, из-за вот этого всего, я и побежал в прошлом годе в ближайший депрессивный регион брать предыдущий Haval H9, коих оставалось уже полтора десятка на всю страну.
Он, хотя бы похож на автомобиль, в отличие от современных планшетов на колесах.
запуск с брелка без всяких модных приложух c rest api ? Дааа, это уже немодно...
> запуск с брелка без всяких модных приложух c rest api ? Дааа,
> это уже немодно...Так это... выпускать unconnected автомобили - по сути законодательно запрещено уже. У тебя это называется - Эра Глонасс. И гарантирует линк к сотовой сети и передачу данных. Который и так позволяет тебя трекать как овцу с GPS ошейником, и сам стучит на тебя в случае ДТП, для твоего же блага, конечно.
А коли уж оно есть - туда и остального напихивают. А почему нет, если канал передачи данных имеется, оплачен "навечно", и бэкдор уже в системы авто - интегрирован?
Более того. Насколько я помню - у тебя уже там и штрафы есть за слом этой штуки. Правда, я не понимаю как гайц будет проверять что оно у тебя работает (хинт, хинт!).
И если ты думаешь что можно от этого сбежать - эта жра г@мна всего лишь - американская и европейская технология, от россиян только перевод спеков на русский язык для местных аборигенов. Поэтому убежать от этой "благотати" - ну, наверное, в моторикши в индии это ставить еще не обязательно, конечно. Они слишком драные для этого.
наоборот, эта хрень независимая. А то ишь хитрый какой, клемму скинул и избежал слежки!Но, кстати, товарищмаер разрешил, ладу сарай в комплектации все-выключено МОЖНО купить и без ошейника.
> А почему нет, если канал передачи данных имеется, оплачен "навечно"
потому что мущина это не для вас канал, это кого надо канал!
А вы отдельный еще навечно оплатите!
> наоборот, эта хрень независимая. А то ишь хитрый какой, клемму скинул и
> избежал слежки!Технически это...
1) GPS ресивер. Ну ладно, теоретически, у россиян глонасс, но россияне чипы сами делать конкурентоспособно не умеют, ессно, и там - мультисистемные чипы от более обычных производителей, кто будет под капотом изучать что за спутники оно видит... (многие мультисистемники подразумевают Глонасс-К, с CDMA сигналом, коего вроде до сих пор небогато, а FDMA требует отдельный RF-frontend, усложняет чип и с антенной сложнее).
2) GPRS/3G/HSPA модем (индустриальный m2m модуль) - с передачей данных - чтобы вон то - кидать на серваки этой эры-в-асс. Их протокол - описан в спеках, вполне общедоступных.И коли это все уже пришлось поставить, разрешить канал передачи данных юзать и другим частям - почему бы и нет? Весьма соблазнительно. Будет конект не только к сервакам эры-в-асс, но еще паре других серваков, вендорских. А в чем собссно проблема?
И как раз в виде эры-асс оно изначально как раз - "навесное", для функционирования подсистем авто реально не требуется, eCтукач донавешен сбоку на существовавший дизайн как собаке пятая нога. И условно скинув клемму - отвалится только "GPS ошейник". Остальной электронике оно изначально - похрену.
А для именно своих приблуд производитель может и бяку сделать, типа если не найден на CAN шине модуль - гудбай! ECU работать не будет. Т.к. вон то требуют и европейцы, и россияне, и проч - в новых авто это могут и поглубже заинтегрять, прям тому в пару, имхо. А чтоб 1 модуль коммникаций на все. Несколько баксов экономии на m2m модуле при миллионных тиражах - того стоят.
> Но, кстати, товарищмаер разрешил, ладу сарай в комплектации все-выключено МОЖНО купить
> и без ошейника.Там таки нету этой твоей эры-в-асс? Нихрена себе свобода и либерализм.
>> А почему нет, если канал передачи данных имеется, оплачен "навечно"
> потому что мущина это не для вас канал, это кого надо канал!Когда вопрос в экономии мегабаксов на миллионных тиражах - сам понимаешь. Да и что значит - кого надо канал? Никто не будет строить отдельную инфраструктуру "специально для". Оно вроде по обычным GSM/3G/HSPA сетям идет. И им так то похрен - эти серваки или вендорские.
> А вы отдельный еще навечно оплатите!Капиталист ради экономии нескольких мегабаксов - сломает себе шею.
> GPS ресивер. Ну ладно, теоретически, у россиян глонассэто сейчас принято в формальных случаях называть "gnss receiver", не уточняя какой именно системы - поскольку китайский приемник, разумеется, мультисистемный.
Никаких некитайских в мире уже нет.> И коли это все уже пришлось поставить, разрешить канал передачи данных юзать и другим
> частям - почему бы и нет?потому что вот нет. Что в целом и логично для системы предназначенной для срабатывания в условиях когда от автомобиля уже мало что осталось.
Но основная причина скорее все же в том что это "Кого нада!" система, и единственный способ взаимодействия с ней подконтрольного раба - нажатие красной кнопочки. (Кстати, ни разу не слышал чтобы кому-то помогло) А что она и без нажатия за тобой не следит- этого товарищмайор не обещали.
> Когда вопрос в экономии мегабаксов
нет никакой экономии, счастливый потребитель обязан оплатить наручники и цепь из своего кармана, а не будут брать - машину не пропустит таможня.
Производителю не дадут никаких протоколов и спецификаций, ему дадут модуль и скажут - устанавливовай! Нечего ковыряться в изделии!
> это сейчас принято в формальных случаях называть "gnss receiver", не уточняя какой
> именно системы - поскольку китайский приемник, разумеется, мультисистемный.Из китайцев вспоминается разве что медиатек, который - таки - вроде тайваньцы так изначально, а кто чип на печатку налепил - да какая разница.
> Никаких некитайских в мире уже нет.
Вот те раз, а всякие STMicro и uBlox'ы - в курсе? Да даже вроде SirfStar живое до сих пор (чипсет с древними корнями, переживший дофига итераций).
> потому что вот нет. Что в целом и логично для системы предназначенной
> для срабатывания в условиях когда от автомобиля уже мало что осталось.Да ну жаба всегда побеждала, побеждает и будет побеждать. Чему пруфом - эта новость. Видишь, наняли зеленых джунов хомячить страничку. Они дешевле были - и хрен с твоим авто! Это ж не производителя с ним проблемы будут если что.
> Но основная причина скорее все же в том что это "Кого нада!"
> система, и единственный способ взаимодействия с ней подконтрольного раба - нажатие
> красной кнопочки.Сперва спеки почитай, что там есть. Довольно навернутый протоколец, и кнопочка только 1 из вещиц.
> (Кстати, ни разу не слышал чтобы кому-то помогло) А
> что она и без нажатия за тобой не следит- этого товарищмайор не обещали.На всю эту штуку вывалены общедоступные спеки, если что.
> нет никакой экономии, счастливый потребитель обязан оплатить наручники и цепь из своего
> кармана, а не будут брать - машину не пропустит таможня.Таможня совершенно точно не е...т как там эра в асс сделана. Откуда этому господину в таких вещах разбираться?
> Производителю не дадут никаких протоколов и спецификаций, ему дадут модуль и скажут
> - устанавливовай! Нечего ковыряться в изделии!Ты вменяем? На эру-в-асс спеки - открыты. Это просто перевод западных спеков - на эту же самую хрень, ее просто скопировали 1 в 1 и перевели, дабы самолично R&D не делать. Да и модули спецом для россиян врядли кто будет. А небольшую кастомизацию прошивки под локализацию - еще может быть. Интересно кстати как в этом в контра^W параллельном импорте? :))
Такой дичи на западном рынке от и до.Киа, Хундай, Форд, Джип - это с ходу могу вспонить, другие прото не попадались подруку.
Вот и Субару тут.
Не на западном. И не на восточном. Конкретно - на японском. Японские программисты - как неуловимый Джо. Но стоит выйти за пределы острова...
Помню что натыкался на проект японский, так там комменты в коде на японском были)
А вообще, вот есть много шуток про индусов и их код, но про японцев не одну не могу вспомнить. Такие вообще есть?
> А вообще, вот есть много шуток про индусов и их код, но
> про японцев не одну не могу вспомнить. Такие вообще есть?вот тебе японский кот: https://github.com/SoftEtherVPN/SoftEtherVPN/
Ну пошути про него что-нить.А вот тебе индусский кот и индусская же вонь как способ разработки и сопровождения: https://github.com/gluster/glusterfs - "all builds - failed" c 4 декабря. issues тоже прекрасны для прожекта десятилетнего возраста.
Стоило только менеджерам с бамбуковыми палками предоставить обезьянок самим себе.
> вот тебе японский кот: https://github.com/SoftEtherVPN/SoftEtherVPN/
> Ну пошути про него что-нить.Летающий. Макаронный. Монстр. Шутка, скорее, страшная - чем смешная. Зато правдивая. Говорят что в коде такого объема может быть более 9000 вулнов!
> А вот тебе индусский кот и индусская же вонь как способ разработки
У тебя любовь к энтерпрайзятине, должен бы уже привыкнуть.
> Говорят что в коде такого объема может быть более 9000 вулнов!говорят что кур доят. А на практике пока ничего страшного никто не нашел, была пара мелких проблем, и те несравнимые с heartbleed (а он, к сожалению, на базе openssl), используется по всему миру и дальше будет.
> У тебя любовь к энтерпрайзятине
storage cluster на _commodity_hardware_ - никакого изначально отношения к энтерпрайзятине не имел, обычный индусский стартап. И больше снова не имеет, энтерпрайсам он оказался найух не нужон.
Помогло ему это? Нет. Наоборот, разработка на шва6одке мгновенно зашла в тупик и загнулась совсем, потому что раньше эту зловонную кучу заставляли разгребать хотя бы в тех местах, где это казалось необходимым менеджеру, а теперь заставлять некому.Но ты можешь мне показать для антипримера хороший индусский код и плохой японский. Только ведь ты балабол и даже в этом тоже не разбираешься.
> говорят что кур доят. А на практике пока ничего страшного никто не
> нашел, была пара мелких проблем,Это слишком хорошо чтобы быть правдой для того объема и сложности кода. Скорее, этот неуловимый джо просто мало кому сдался. Они так, поанноили китайцев, те подрегулировали гайки, стало работать - не всегда и не везде. И жaьoгадюкинг продолжился.
Япы в ответ тоже поприкалывались - и начали подмешивать в выгрузку явно левые айпи. В какой-то момент чайники забанили себе - серваки виндус апдейта. Потому что хитрые япы их в список якобы-впн загнали. Тут то чайники и научились - в то что все баны должны быть ВРЕМЕННЫЕ. И активный пробинг что и правда - нужный протокол.
> и те несравнимые с heartbleed (а он, к сожалению, на базе openssl),
> используется по всему миру и дальше будет.Вон та штука - не особо популярная, и вот тут сомнения что кто-то делал этому спагетти серьезный аудит. Колупать много, а кто оплатит банкет в таком объеме? Это ж какие-то академы яповские.
>> У тебя любовь к энтерпрайзятине
> storage cluster на _commodity_hardware_ - никакого изначально отношения к энтерпрайзятине
> не имел, обычный индусский стартап.Это простым смертным - нахрен не надо. Почти 100% корпоративное добро, обреченное с самого рождения следовать всем (анти)паттернам корпорасов.
> он оказался найух не нужон.
Иногда стартапа постигает факап. Что делать? Но это явно метило на корп клиентов. Остальным такое просто нафиг не.
> Помогло ему это? Нет. Наоборот, разработка на шва6одке мгновенно зашла в тупик
> и загнулась совсем, потому что...потому что простым смертным ржавый энтерпрайзный дредноут нахрен не вперся!
> Но ты можешь мне показать для антипримера хороший индусский код и плохой
> японский. Только ведь ты балабол и даже в этом тоже не
> разбираешься.Я как раз посмотрел на софтэзера. Мне одного взглядя на проект достаточно чтобы понять что я этим пользоваться не буду. Убер-навороченый дредноут с слишком дофига кода. Да, вайргад имхо значительно ближе к тому "как надо было".
Но ты прав в том что в целом культура разработки у япов - несколько выше чем у индусов. Если в среднем по больнице.
Может впн и жирный, но единственный, который работает сейчас на выборах. То что там в код не вылизан мало волнует, больше волнует результат
ну как обычно - балабол остался балаболом. Кроме кекспертного мнения за душой ничего.Код анализировать он не умеет, но свято верует.
> ну как обычно - балабол остался балаболом. Кроме кекспертного мнения за душой ничего.
> Код анализировать он не умеет, но свято верует.Тебе виднее кто ты. Хотя ты конечно можешь блеснуть и показать как ты аудит кода такого объема вообще делаешь, со всеми зависимостями.
Что не так с комментариями на японском? Никто не обязан делать комментарии на английском, если анониму с опеннета что-то нужно, то пускай силит со словариком и переводит
> Что не так с комментариями на японском? Никто не обязан делать комментарии
> на английском, если анониму с опеннета что-то нужно, то пускай силит
> со словариком и переводитЕсли ты открываешь код - ты это делаешь для анонима с опеннета, и нужно это как правило - именно тебе. Нате-на-лопате тут не работает, потому что с тем же успехом можешь и не открывать вовсе.
Код который нужно изучать "со словариком" - никто изучать и не будет. (Так, кстати, и сдохла большая часть китайских поделок, кто вон помнит - tengine?)
Поэтому если только это не нечто импортозамечательное аналогов не имеющее (которое и даром никому не уперлось по обе стороны ленточки) - то будь добр писать комментарии (и называть переменные) на языке, являющемся общепринятым в IT. Только в этом случае можно рассчитывать на то, что кто-то полезет тратить время тебе помогать.
(и старайся не позориться, а то как видишь все эти "raperyfreespace()" (tm) так сразу становится понятно что сам код уже можно и не смотреть)
> Не на западном. И не на восточном. Конкретно - на японском.kia с точно такой же дырой смотрит на тебя как на неприятеля.
> Японские программисты - как неуловимый Джо
поэтому для портала они наверняка аутсорснулись в Бангалор. Что в целом понятно, автоконцерн может не иметь нормальных программистов.
Но печально.И да, обрати внимание - портал у них не квадратиками, а вполне себе английскими буковами и цифирами.
Bmw connected drive
Удаленная блокировка/разблокировка дверей, гпс позиция (только парковка/распарковка, не движение), климатизация. Но завести - нет.
> Bmw connected drive
> Удаленная блокировка/разблокировка дверей, гпс позиция (только парковка/распарковка,
> не движение), климатизация. Но завести - нет.т.е. мне по морозу каждый раз звиздыхать ее заводить, а потом бродить вокруг нюхать выхлоп или трястись от холода в промороженном салоне а потом откалывать ледышки изнутри от стекол?
Слушай, как-то это... немного несовременно что-ли. За что шесть лямов-то?!
(а нельзя вот ли блжд как лет пятнадцать всего назад - чтоб кнопку на брелке нажать, без всяких спутниковых следилок, телефонов лазящих по каким-то левым сайтам и всего вот этого барахла, и чтоб она завелась и пискнула мне когда нагреется?)
Написано же - климатизация. Включается удаленно, откуда угодно через апп, у самой машины есть свой мобильный коннект с бмв. Не знаю как на других, на гибриде/электричке есть климатизация и по таймеру.
> Включается удаленно, откуда угодно через апп, у самой машины есть свой мобильный коннект с
> бмв.и там такая же лажа как у субар, наверняка.
> Не знаю как на других, на гибриде/электричке есть климатизация и по таймеру.
ну да, и кнопку старт даже и нажимать не надо, зачем она гибриду, он сам запустится когда захочет.
Вот как раз кнопку старт и надо нажать, чтобы с места тронуться. При этом физический ключ должен быть где-то рядом (в кармане водителя). И эта кнопка через апп не нажимается.
> Вот как раз кнопку старт и надо нажать, чтобы с места тронуться.ну так она ж ничего не стартует, кроме каких-нибудь индикаторов на доске...
Я про нормальные автомобили, у которых обогрев салона не электрический. И которым таки надо включить двигатель заранее.
Кнопка старт разблокирует АКП и моторы. Без нее никуда, как раз только обогрев, радио, клима и прочее.Для стационарного нагрева требуется печка (бензиновая/дизельная), греть мотором запрещено (в Германии точно, скорей всего по всему Евросоюзу). Вот она и включается, если она есть конечно (стандарт для скандинавии, так-то опционально).
Греть именно мотором не имея печки - это да, ручками, в присутствии водителя и ровно чтобы лед/снег соскрести. Не знаю как в РФ, но местные реалии таковы.
> Греть именно мотором не имея печки - это да, ручками, в присутствии
> водителя и ровно чтобы лед/снег соскрести. Не знаю как в РФ,В РФ картонку перед радиатором пихают. Потому что в салоне ты и так надышишь, если на автономную печку нетлавэ, а вот самому движку при вполне случающихся тут -20, пусть и не каждый год в средней полосе - поплохеет, если на нем сразу попытаться поехать.
а что там такого может случиться с движком в -20? а то я уже лет 15 так делаю.
> а что там такого может случиться с движком в -20? а то
> я уже лет 15 так делаю.действительно, чего там может случится с блоком часть которого промерзла а вторая внезапно нагрелась до сотни с лишним...
и в чем разница, едешь ты в таких условиях или стоишь? градиент температур будет в любом случае. Градиент кстати не такой уж большой - металл штука хорошо проводящая тепло.
В мануале к моему автомобилю прямо сказано "не греть, просто не допускать высоких нагрузок первые минуты езды".
> и в чем разница, едешь ты в таких условиях или стоишь?в низком (сравнительно) давлении и отсутствии дополнительных нагрузок.
Пока не устаканятся температуры по всему блоку. Включая всякие интересные зазоры и сальники задубевшие в -20.
> В мануале к моему автомобилю прямо сказано "не греть
небось - немецкий автопром? Это по-моему ровно из той серии, что "неэкалагична, надо было докупить дизельную печку (очень экалагична!) и греть ей!" (у меня в книжке ровно обратное написано - греть до 'C' - но ее японец забыл с 92го года обновить, когда еще было можно, хрента тупенг не родилась еще)
Ну и попробуй "не допустить высоких нагрузок" просто трогаясь с парковки. Когда мост и коробка тоже застыли и примерзли, да еще и сугробик под колесами вырос за ночь.
ну да, немецкий.
но за 15 (а то уже и 20) зим у меня ничего не случилось с разными машинами, в том числе и с автовазовским поделием. Что там у вас за сальники, что дубеют до неюзабельного сосотояния в -20? Вот в -35 еще можно на месте подождать пока согреется до стабильной работы всего.
И как вы кстати стоя на месте греете тот же мост, коробку, подвеску, тормозную систему? Там же тоже зазоры/сальники и тп. Или на какие-нибудь амортизаторы вам пофиг? Можно и замерзшим по кочкам бить?
В -35 уже либо теплый гараж, либо быть готовым к тому что придется ремонтировать. Скорее всего все и сразу. Т.е. даже это поможет не со 100% гарантией и хорошо если только весной поедешь искать где там оно у тебя потекло. Не бывает у немцев -35, и они разьве что теоретически рассчитывали на такое, а тестировать тебе предоставили.> И как вы кстати стоя на месте греете тот же мост, коробку, подвеску, тормозную систему?
коробка греется на холостых (и да, зимой на механике разумеется заводимся только с выжатым сцеплением и отпускаем сильно не сразу, когда упадут обороты, и плавно). С мостом при трогании - да, очень аккуратно, масло в нем замерзло, сальник сжался и не держит давление, да еще и если влага попала - она смерзлась в ледышку. Тормоза на всякий случай считать неработающими пока не нажмешь три-четыре раза, и тоже плавно и аккуратно - пробьет сальники - они назад уже не восстановятся, течь только усилится в тепле. У нас такие орлы периодически вылетали с парковки прямо в мусорку. Туда в общем и надо было, но они об этом еще не знали.
Амортизатору моему и в -35 ничего не сделается, но это особенность конкретной телеги, он там не для плавного покачивания на кочках, а чтоб колеса не оторвало.
у немцев может и не бывает, а в России -35 - не такая уж редкость, тесты проходят успешно, ничего не течет, даже по весне )
Может у японцев какие-то проблемы с низкими температурами есть, не пробовал.
Ну и вот пока с мостом/тормозами плавненько двигаешься, то и двигатель прогревается. В чем смысл его гонять на месте я не понимаю.
Две мысли у меня, от этой новости:
1. "Слов нет, одни эмоции". Как такое можно было накодить, это сложно даже осознать. Я вот в связи с этой новостью вспомнил как был шокирован когда здесь со всеми вами читал про бэкдор в xz. Но главное что в "обычном" инфополе об этом вообще, ничего. Как буд-то это супер местечковое проишествие.
А причина просто - всем(не гикам/спецам) просто п**уй. Здесь будет точно так же.
2. Как я и писал в аналогичной новости ранее - уберите всю ненужную электронику. Оставьте контроль двигла и прочее. Но так чтобы автономно.
Между прочим, я, когда только услышал сто лет назад про все эти запуски с кнопки/через приложение, сразу же подумал, мол, "это же дырень какая, любой теперь может нажать кнопку и угнать тачку"
Ха, вот и оно.
Если кодили студенты для курсача, то стоит ли удивляться?
Студенты студентам рознь. В моей шараге на парах про пхп нам твердили всегда, "НЕ ДОВЕРЯЙ ПОЛЬЗОВАТЕЛЯМ! ВСЕГДА ПРОВЕРЯЙ ВХОДНЫЕ ДАННЫЕ!".
Но да, реальность такова что многие либо пропустят это мимо ушей, либо препод будет вести предмет на полном пофигизме.
> Студенты студентам рознь. В моей шараге на парах про пхп нам твердили
> всегда, "НЕ ДОВЕРЯЙ ПОЛЬЗОВАТЕЛЯМ! ВСЕГДА ПРОВЕРЯЙ ВХОДНЫЕ ДАННЫЕ!".
> Но да, реальность такова что многие либо пропустят это мимо ушей, либо
> препод будет вести предмет на полном пофигизме.Значит, у Вас правильная контора.
Хотите прикол? Если вообще вырубить модальные окна в браузере то можно очень много таких "дальше вы не пройдете пока не получите бумаги" обойти со времён 2000х
Ой, и что тут нового?
Во всём мире куча спобов на обход любых ограничений, это не только софтварная проблема.
В общем то законы и правила - это для большинсва, кто не хочет думать или не мотивирован их обходить.
Цирк с досмотрами в аэропортах - это просто сервис для туристов, как и прочие границы.А насчёт программных уязвимостей в машинах - так тема очень старая, просто она не публичная была.
И разблокировка и угон тачилы - это "легко отделался", ибо ходит мнение что спецслужбы в америке как минимум одного неугодного журналиста грохнули в автоаварии похакав авто. Историям 10+ лет.
Вы еще будете завидовать владельцам четырок и классики! :)
На АвтоВАЗе такой фигни нет. У нив практически такой же постоянный полный привод как у субар.
на автотазе много какой "фигни" нет. Когда за новой вестой на светофоре в горку стоишь - близко не прижимайся."практически такой же", ага, щас. У субары вообще-то управляемая мозгами фрикционная передача, распределяющая момент на ходу.
(за очень отдельные теперь деньги - бывают с вискомуфтой. но это для нас, увы, фантастика)А ты иди на своей ниве ручки в правильном порядке дергай. Надеюсь, у тебя старая, кааааачествооо, и ручек там аж две, как на уазе. Не забыв дважды выжать сцепление и еще говорят помогает руль подергать. А то никаких синхронизаторов там, естественно, не предусмотрели.
А все остальное время - наслаждайся воем раздатки. Кааааачествооооо!
Фигни зато нет.
Ещё можно выйти и сзади подтолкнуть.
полторы тонны... ну так себе идея.
Предыдущая машина была нива, а нынешняя субару (starlink есть, но развлекательный). Все таки уровень очень и качества и возможностей очень разный, обратно на ниву не хотелось бы.
> Предыдущая машина была нива, а нынешняя субару (starlink есть, но развлекательный). Все
> таки уровень очень и качества и возможностей очень разный, обратно на
> ниву не хотелось бы.не, я могу понять выбор нивы если жить в деревне, ездить по колее за трактором в соседнее село и по лесу за грибами. И чинить потом дешево, и несложно, сам справишься. Хотя приятель, промучавшись год, купил таки - defender.
А если тебе даже не тошнить каждый день в офис, а раза два в неделю надо проехать километров 100 в обычном режиме - где-то разрешенная 110, где-то сорок минут в глухой пробке - то даже если там в конце надо метров на сорок сползти с дороги в колею, ниве ты рад не будешь.
Ну и собирают ее, как все у нас, с глухой ненавистью к богатею-покупателю. Поэтому с завода сразу нужно в сервис, разобрать и собрать обратно уже руками. А мерзсссский владелец субары так и ездит до ТО0, а потом масло меняет и снова ездит.
Да ты не очкуй. Как теперь подкатывать к подруге на субару, она и слов-то таких не знает.
Для тех кто пропустил:
https://samcurry.net/hacking-kiaБуквально полгода тому назад вскрылась аналогичная история с KIA в США/Канаде — как оказалось, через вендорский портал кто угодно мог отследить на карте, открыть и завести любой автомобиль этой марки, назначив себя владельцем автомобиля. Требовался только известный VIN (который легко определить по номерному знаку через сторонние сервисы). И оттуда же получить имя/телефон/email/адрес настоящего владельца. Буквально, KIA Boyz, часть вторая. Благо, исследователи оказались первее.
Посвящается тому клoу… очевидному тролoлo, на голубом глазу утверждавшему, что главная проблема автовладельцев америки — скрипткидди с флиппером, а вовсе не наскозь дырявый пограничный контроль в портах и вконец офонаревшие производители, внедряющие подобные закладки.
> ПосвящаетсяАхахаха, да. Спасибо что напомнили про него.
> Таким образом, для смены пароля любого сотрудника Subaru, имеющего доступ к STARLINK
> Admin Portal, достаточно было знать его email.Круто, круто. А функция самоуничтожения у них там в авто не встроена? На всякий случай.
Не страшно. Среди японцев нет мошенников. А "внешние" мошенники в иероглифы не смогут.
Kaiji посмотрите. Это насчёт мошенников.
Посмотри в словаре слово ирония или сарказм.
> Не страшно. Среди японцев нет мошенников. А "внешние" мошенники в иероглифы не смогут.Представляешь, пагу можно - в переводчик вогнать. Я так китайский роутер настроил как делать нефиг. А мошенникам что помешает это сделать?!
Нет это функция у них встроена на уровне страны, так что на автомобили они не размениваются...😂
>удалённо завести/заглушить, заблокировать/разблокировать автомобиль, получить данные о текущем местоположении автомобиля, загрузить полную историю перемещений за последний год с точностью до 5 метров, узнать персональные данные владельца (адрес, телефон, последние 4 цифры номера кредитной карты) и историю перепродаж автомобиляЗдравствуй, "О дивный новый мир"!
Вообще, произошедшее — типичный пример современного мира, где корпорации, мировая закулиса и пр. делают всё, чтобы полностью контролировать жителей планеты. :)
Вот, кто им мешал использовать криптографию с открытым ключём индивидуальным для каждого автомобиля генерируемым внутри автомобиля и никому не передаваемым? И чтобы данные хранились в облаке исключительно в зашифрованном виде.
> автомобиля генерируемым внутри автомобиля и никому не передаваемым? И чтобы данные
> хранились в облаке исключительно в зашифрованном виде.ШК...запрещенноесловоКексперты 0пеннета в своем обычном репертуаре. А не подсказешь, болезный, зачем мне вообще эти данные в зашифрованном виде хранить в облаке?
И как мне это поможет с телефона найти на громадной парковке место где я бросил свою машину пол-дня назад? А завести ее, настроив в том же телефоне будильник на пять утра, чтоб не прыгать на морозе пока она прогреется, а спокойно проспать эти двадцать минут?
>с телефона найти на громадной парковке место где я бросил свою машину пол-дня назад? А завести ее, настроив в том же телефоне будильник на пять утра, чтоб не прыгать на морозе пока она прогреется, а спокойно проспать эти двадцать минут?Ах, какие удобные и приятные "плюшки"!
Осталось честно ответить себе: ЧЕМ реально за эти "плюшки" приходится расплачиваться.
ЖЫзапрещенноенаэтомсайтесловО-Рептилоиды могут узнать, куда и когда ты поехал и подстроить что-то ужасное?Окей, окей - соберусь делать что-то супротив мировой закулисы - заведу машину ключиком.
>соберусь делать что-то супротив мировой закулисыПохоже, ты либо вовсе не читал, либо совершенно не понял Оруэла "1984". Мыслепреступления раскрываются еще до совершения.
Тотальный сбор всей доступной информации и автоматизированная (ИИ) ее обработка - вот за что Гугл зарабатывает $8 млрд. прибыли в год.
>А не подсказешь, болезный, зачем мне вообще эти данные в зашифрованном виде хранить в облаке?Затем чтобы получить к ним доступ если автомобиль пропадёт из зоны видимости сети. Да и вроде бы как это стандартная практика даже для мессенджеров с шифрованием. В любом случае, в связи с засильем nat прямой доступ к авто не факт что будет. Поэтому данные, в большинстве своём, таки придётся гнать через промежуточный сервер.
Вообще, в принципе, технология поиска в зашифрованных данных без раскрытия серверу самих данных вполне себе имеется (насколько она безопасная — уже другой вопрос).
>И как мне это поможет с телефона найти на громадной парковке место где я бросил свою машину пол-дня назад? А завести ее, настроив в том же телефоне будильник на пять утра, чтоб не прыгать на морозе пока она прогреется, а спокойно проспать эти двадцать минут?Никому не передаваемую закрытую часть ключа. Вроде бы как это должно было быть очевидно. Наверное.
еще раз - как мы ее никуда не передадим - будем напрямую звонить на другой телефон, внутри авто? Такое даже делали, лет еще десять назад со своей тачилой можно было поговорить.Передать ей что-либо нельзя, потому что нет такой фичи у телефонов.
Поэтому идея быстро заглохла, сменившись порталами и приложениюями - все же тыцать в красивые кнопочки удобнее чем dtmf-команду вспоминать. У которых разумеется есть ключи от всех замков, потому что именно портал и дает команду на их открытие, а твой телефон дальше портала пробиться не может.
Можно, конечно, поиграть во всякие TURN'ы, но ради открывания дверей вряд ли кто-то будет так сильно заморачиваться.
> "еще раз - как мы ее никуда не передадим - будем напрямую звонить на другой телефон, внутри авто?"Считаем qr код с магнитолы либо с открытым ключём, либо с взломостойким хешем ключа, если ключ в qr по каким-то причинам не поместится.
> "Передать ей что-либо нельзя, потому что нет такой фичи у телефонов."
У телефонов нет, это да.
> У телефонов нет, это да.А пипл хочет - чтоб хлебалом в камеру хлоп-хлоп - тачила завелась и ждала его подогретая, когда он из бара выползает.
Погугли myhaval - в смысле, сколько вони поднялось, когда он в РФ перестал работать. А ведь хавальники заводятся с брелка, во всяком случае старые. И это вообще единственное для чего там тот брелок в руки берут.
Да ни кто не мешал. Просто зумеры которые это делали были уверены что достаточно использовать безопасный язык чтобы всё было безопасно
>I didn’t realize this data was being collected, but it seemed that we had agreed to the STARLINK enrollment when we purchased it.
>To better understand the data, I exported a year’s worth of location history from my mom’s 2023 Impreza and imported it into the Google Mapsгде их собрали ещё разок
>>To better understand the data, I exported a year’s worth of location history from my mom’s 2023 Impreza and imported it into the Google Maps
> где их собрали ещё разокты всегда можешь попросить google takeout чтобы better understand их.
Но можешь без гугля - лично выяснять с какой стороны на березе вкуснее мох.
Не так давно на Опёнке было https://samcurry.net/hacking-millions-of-modems
Пора самим собирать автомобиль без грёбаного IOT.
> Пора самим собирать автомобиль без грёбаного IOT.зачем, твой газ-67 уже собрали.
https://auto.ru/cars/used/sale/gaz/67/1126533648-a41483b8/
и недорого. Я бы уже за название деревни его бы купил.
Лучше ГАЗ-69 "Бобик"
> газ-67Немного неудачный пример. В данный момент это не средство передвижения, а великолепный музейный экспонат.
двигается? Двигается! Аж вон 10 тыщ ухитрились на нем по той деревне накатать.А немузейный экспонат, который не затрахает тебя вусмерть за эти 10 тыщ - будет с can.
(ну и со всеми прибабахами тоже)
Всё, что надо знать об "облачных сервисах" "умных" домов, автомобилей и прочем "облачном" хламе. Первые кандидаты на отключение в любом железе.
> Всё, что надо знать об "облачных сервисах" "умных" домов, автомобилей и прочем
> "облачном" хламе. Первые кандидаты на отключение в любом железе."умный дом - это когда ключи от всего у кого-то поумнее чем хозяин".
Ну и учти что в одной ресурсной федерации товарищмаёр только ладу-сарай разрешил продавать без эры-го8нясс, а любая импортная тачила снабжена устройством чтоб он мог за тобой приглядывать - неотключаемым, и эксплуатация без него запрещена.
Это помимо камер на каждом столбе и новых обязанностей операторов платных дорог хранить вечно историю куда и откуда ты ехал.
Так что можно уже не париться что за тобой еще и субара подглядывает.
Да подглядывает хер с ней, а вот то, что её увести при этом можно, не особо напрягаясь...
С моей точки зрения наоборот - увести мою можно вообще не напрягаясь, только аккумулятор свой принеси, мой сдох.
Но я ее даже запер нормально только после того как некоему Куцему подбросили в запоржёпец труп. Я-то наивно думал - ну наcpyт - подумаешь, коврик вытряхнуть, главное заметить вовремя, пока не вляпался.Ее не тырят не потому что какая-то л-х0троника может этому помешать, а потому что уголовка с приятной перспективой подписать контракт никому за те деньги не уперлась.
При этом лет пять назад у друзей сп-ли rav4, новехонький и со всеми штатными прибабахами. И прям под камерой видеонаблюдения. Потому что овчинка стоила.
А вот то что каждый шаг в нашем концлагере записывается и легко добывается любым приблатненным - это вот в этой стране действительно не может не огорчать. И тут отсутствие у меня г08нясса и приложению не особо поможет.
Был у меня в середине 90-х коллега, и была у него Ауди 80.. Изрядно поношенная. И там не работал замок в правой передней двери, тоесть дверь всегда открывалась путём дергания ручки на себя в не зависимости от положения ключа. угадайте с одного раза, какое стекло ему разбили, чтобы снять как то неудачно забытую магнитолу ?зы, правильно в этой двери и разбили.. потому что они не дёргают ручки вообще, а сразу бьют быстро ныряют за магнитолой и валят. а проверять открыто ли инет, это лишние несколько секунд.. и да бьют пассажирское, там руля нет.
> Был у меня в середине 90-х коллегадикие годы, што поделать.
Сейчас та магнитола даром никому не нужна. Вот если б ты мобилу забыл на торпеде - тогда прощай стекло, да.
А когда труп надо спрятать - тут уже могут ручки-то и подергать, не в форточку ж его пихать, и не одна так соседняя тачила окажется незакрытой.
Когда разработчика бэкэндов заставили сделать фронтэнд.
edit: ну или когда автомеханика заставили программировать.
энтерпрайс, тем более - японский - так не работает, это не твой подвальчик где тебе могут сунуть в руки швабру и сказать - сегодня ты еще и пол моешь (а будешь плохо мыть - ее тебе с другого конца засунут).Там наверняка нанята выигравшая тендер (индусская) лавка, подписавшая все нужные nda и подрядившаяся не только написать прожект, но и сопровождать его пожизненно. Пока не сдохнет тот японский менеджер, который организовал тот тендер. Т.е. очень надолго, японцы и по сто лет живут.
Вот тогда на его место назначат нового, и он, улыбаясь и кланяясь, сообщит что условия тендера были выбраны совершенно несоответствующие задаче, надо бы переиграть.
И зачем ругали советский автопром?! карбюраторные машины без электроники или с минимум оной?!. Он был совершенен.
> И зачем ругали советский автопром?! карбюраторные машины без электроники или с минимум
> оной?!. Он был совершенен.тоже не пойму, чего тот газ67 по ссылке выше никто купить не хочет.
Подвох? Но где?!
Тоесть можно подойти к Subaru с flipper zero https://flipperzero.one/ и разблокировать автомобиль?