×
car-vehicle.jpg
Il creatore di un veicolo popolare sistema telematico ha lasciato hardcoded credenziali all’interno del suo mobile, lasciando decine di migliaia di automobili vulnerabili agli hacker.
Gli aggiornamenti di sicurezza che rimuovere il hardcoded credenziali sono state messe a disposizione sia per il MyCar Android e iOS apps da metà febbraio, il ricercatore di sicurezza che ha riscontrato questo problema detto a ZDNet oggi.
Allo stesso modo, il hardcoded le credenziali sono state rimosse anche sul lato server per prevenire eventuali abusi contro gli utenti che non sono riuscito ad aggiornare le loro applicazioni.
Vulnerabilità, impatti MyCar sistema telematico
La vulnerabilità, tracciati come CVE-2019-9493, impatti il MyCar sistema telematico venduto da Quebec a base di Automobility di Distribuzione.
Per Suggerire ai lettori unware del termine, veicolo telematica si riferisce a componenti hardware che i proprietari di auto possono installare nei loro veicoli per fornire 2G/3G basato su funzionalità di controllo remoto e su certe caratteristiche di auto.
MyCar è uno dei più avanzati del veicolo sistemi telematici, a fornire una ricchezza di utili controlli. Secondo il MyCar sito web, gli utenti possono utilizzare il MyCar mobile “per pre-riscaldare la vostra cabina della vettura in inverno, pre-raffreddare in estate, bloccare e sbloccare le porte, inserire e disinserire la sicurezza del vostro veicolo, sistema, aprire il baule, e anche trovare la vostra auto in un parcheggio”.
Per questi motivi, il hardcoded credenziali di sinistra all’interno dei due MyCar mobile sono stati un enorme falla di sicurezza.
Hardcoded credenziali raddoppiato come alternativa per il sistema di login
Secondo un avviso di sicurezza inviato lunedì al Carnegie Mellon University CERT Coordination Center, prima gli aggiornamenti, qualsiasi minaccia attore potrebbe estratto questi hardcoded le credenziali dall’applicazione del codice sorgente e che potrebbe essere stato usato “in luogo di un nome utente e una password per comunicare con il server endpoint per un target account dell’utente, di” garantire il pieno controllo su ogni auto connesse, quali ad esempio l’individuazione, lo sblocco e di iniziare qualsiasi auto connesse.
È più divertente di quello che, in realtà, questo è stato utilizzato nel processo di creazione dell’account. Aveva un’api per controllare se l’indirizzo email che hai fornito è stato utilizzato. Ma “tutte” le Api necessarie auth. Quindi, come si fa auth prima di avere un account? Una sola risposta: hardcoded admin creds
— Jmaxxz (@jmaxxz) 9 aprile 2019
Il hardcoded password è stato scoperto da un ricercatore di sicurezza che va online come Jmaxxz. Ha detto a ZDNet che ha noticato Automobility Distribuzione il 25 gennaio, e hanno rilasciato un aggiornamento di un mese dopo.
Si consiglia agli utenti di aggiornare a MyCar per la versione iOS 3.4.24 o poi e MyCar per Android 4.1.2 o poi. L’aggiornamento di queste due versioni dovrebbe risolvere eventuali problemi.
Automobility di Distribuzione non ha risposto a una richiesta di commento prima della pubblicazione di questo articolo.
L’azienda risolto il suo problema di sicurezza piuttosto velocemente, rispetto ad alcuni IoT fornitori che patch problemi dopo mesi o anni, ma alcuni esperti di sicurezza hanno sostenuto che la società non dovrebbe avere mai usato hardcoded credenziali nella sua applicazione, in primo luogo, come questo, universalmente considerato cattiva prassi di sicurezza.
Più vulnerabilità di report:
Ricercatore stampe ‘PWNED!’ su centinaia di orologi GPS mappe a causa di non fissati APICisco pasticciato RV320/RV325 patch, router ancora esposti di hack
Vulnerabilità trovato in Xiaomi telefoni pre-installato sicurezza appBackdoor codice che si trova nella popolare di Bootstrap-Sass Ruby libraryApache web bug del server concede l’accesso root su hosting condiviso environmentsResearcher pubblica di Google Chrome exploit su GitHubDJI correzioni di vulnerabilità che consentono di potenziali hacker spiare droni CNETTop 10 app vulnerabilità senza Patch, i plugin e le estensioni dominare TechRepublic
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati