×
car-vehicle.jpg
Tillverkaren av en populär bil telematiksystem har lämnat hårdkodad referenser inne i sin mobil-appar, och lämnade tiotusentals bilar sårbara för hackare.
Säkerhetsuppdateringar att ta bort hårdkodad referenser har gjorts tillgängliga för både MyCar Android-och iOS-appar sedan mitten av februari, säkerhet forskare som hittat denna fråga berättade ZDNet idag.
På samma sätt, hårdkodad referenser har också tagits bort på server-sidan för att förhindra övergrepp mot användare som misslyckades med att uppdatera sina appar.
Sårbarhet för påverkan MyCar telematiksystem
Sårbarheten, spårade som CVE-2019-9493, påverkar MyCar telematiksystem som säljs av Quebec-baserade Automobility Distribution.
För ZDNet läsare unware av begreppet, vehicle telematics hänvisar till hårdvarukomponenter som bilägare kan installera i sina fordon för att tillhandahålla 2G – /3G-baserad fjärrkontroll kapacitet över vissa bilen har.
MyCar är en av de mer avancerade fordon telematik, vilket ger en uppsjö av nyttiga kontroller. Enligt MyCar webbplats, kan användare använda MyCar mobil-appar “till pre-varm bilens stuga i vinter, pre-låt det svalna i sommar, låsa och låsa din dörrar, arm och avväpna bilens säkerhetssystem, öppna din stam, och även hitta din bil på en parkeringsplats.”
Av dessa skäl, hårdkodad referenser till vänster inne i två MyCar mobile apps var en stor säkerhetsbrist.
Hårdkodad referenser fördubblats alternativ login system
Enligt ett larm skickas ut på måndag av Carnegie Mellon University CERT Coordination Center, innan uppdateringarna, något hot aktör kan ha utvunnits dessa hårdkodade referenser från app källkod och de kunde ha använts “i stället för en användares användarnamn och lösenord för att kommunicera med servern slutpunkt för ett mål användarens konto” för att ge full kontroll över alla anslutna bilar-till exempel att hitta, låsa upp och starta alla anslutna bilar.
Det är roligare än det som egentligen användes för att skapa ditt konto. Hade ett api för att kontrollera om e-postadressen du angav var används. Men ‘alla’ Api krävs auth. Så hur gör en auth innan du har ett konto? Bara ett svar: hardcoded admin creds
— Jmaxxz (@jmaxxz) 9 April, 2019
Den hårdkodade lösenord upptäcktes av en säkerhetsforskare som går ut på nätet som Jmaxxz. Han berättade ZDNet att han anmälde Automobility Distribution den 25 januari, och att de släppt en uppdatering till en månad senare.
Användare rekommenderas att uppdatera till MyCar för iOS version 3.4.24 eller senare och MyCar för Android 4.1.2 eller senare. Uppdatera för att dessa två versioner bör åtgärda eventuella problem.
Automobility Distribution inte svara på en begäran om kommentar innan denna artikel publicerades.
Bolaget löst sina säkerhetsproblem ganska snabbt –jämfört med några av sakernas internet-leverantörer som plåster frågor efter månader eller år-men vissa säkerhetsexperter har argumenterat för att företaget ska aldrig användas hårdkodad referenser i sin app i första hand, som det allmänt anses som dålig säkerhet praktiken.
Mer sårbarhet rapporter:
Forskare skriver “PWNED!” på hundratals GPS-klocka ” kartor på grund av ofixerade APICisco klantade RV320/RV325 fläckar, routrar utsätts fortfarande för att hacka
Sårbarheten finns i Xiaomi telefoner ” förinstallerad säkerhet appBackdoor koden som finns i populära Bootstrap-Sass Ruby libraryApache webbserver bugg bidrag root-åtkomst på delad hosting environmentsResearcher publicerar Google Chrome utnyttja på GitHubDJI åtgärdar säkerhetsproblem som gör att hackare spy på drönare CNETTop 10 appen sårbarheter: Unpatched plugins och tillägg dominera TechRepublic
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter