×
car-vehicle.jpg
De maker van een populair voertuig telematica systeem heeft verlaten hardcoded referenties binnen de mobiele apps, verlaten tienduizenden auto ‘ s kwetsbaar voor hackers.
Security updates voor het verwijderen van de vaste referenties zijn beschikbaar voor zowel de MyCar Android en iOS apps sinds medio februari, de security-onderzoeker die dit probleem vertelde ZDNet vandaag.
Ook de vaste referenties werden ook verwijderd op de server-kant om te voorkomen dat misbruik tegen gebruikers die niet tot een update van hun apps.
Kwetsbaarheid effecten MyCar telematica systeem
De kwetsbaarheid, bijgehouden, zoals CVE-2019-9493, de effecten in de MyCar telematica systeem verkocht door Quebec-gebaseerd Automobility Distributie.
Voor de lezers van ZDNet unware van de termijn, voertuig telematica verwijst naar hardware componenten die de auto-eigenaren kunt installeren in hun voertuigen te voorzien 2G/3G-gebaseerde remote control over bepaalde functies.
MyCar is een van de meer geavanceerde voertuig telematica systemen, die een schat van nuttige controles. Volgens de MyCar website, gebruikers kunnen gebruik maken van de MyCar mobiele apps “pre-warm in de auto hut in de winter, pre-koel in de zomer, vergrendelen en ontgrendelen van uw deuren, arm-en uitschakelen van uw voertuig de veiligheid van het systeem, opent de kofferbak, en zelfs je auto op een parkeerplaats.”
Om deze redenen, de hardcoded referenties links binnen de twee MyCar mobiele apps waren een groot lek.
Hardcoded referenties verdubbeld als alternatief login systeem
Volgens een security alert uitgezonden op maandag door de Carnegie Mellon Universiteit CERT Coordination Center, voordat de updates, een bedreiging acteur zou hebben gewonnen deze hardcoded referenties van de app, de broncode en ze gebruikt kunnen worden “in plaats van een gebruiker gebruikersnaam en wachtwoord in om te communiceren met de server eindpunt voor een doel van het account van de gebruiker,” het verlenen van volledige controle over alle aangesloten auto ‘s, zoals het opsporen, ontsluiten, en vanaf alle aangesloten auto’ s.
Het is grappiger dan dat eigenlijk, dit werd gebruikt in de creatie van een account. Had een api om te controleren of het e-mailadres dat u hebt opgegeven wordt gebruikt. Maar ‘alle’ Api ‘ s nodig auth. Hoe werkt een auth voordat u een account? Slechts één antwoord: hardcoded admin creds
— Jmaxxz (@jmaxxz) 9 April 2019
De hardcoded wachtwoord werd ontdekt door een security-onderzoeker die online gaat als Jmaxxz. Hij vertelde ZDNet dat hij aangemelde Automobility Distributie op januari 25, en ze een update uitgebracht die een maand later.
Gebruikers wordt geadviseerd om de update te MyCar voor iOS-versie 3.4.24 of later en MyCar voor Android 4.1.2 of later. Het updaten naar deze twee versies moeten het oplossen van problemen.
Automobility Distributie niet antwoorden op een verzoek om commentaar voor dit artikel de publicatie.
Het bedrijf opgelost zijn veiligheid en probleem vrij snel –in vergelijking met sommige Dingen leveranciers die patch problemen na maanden of jaren– maar sommige security experts hebben betoogd dat de onderneming zou moeten zijn nooit gebruikt vaste referenties in de app in de eerste plaats, omdat dit algemeen beschouwd als de slechte beveiliging van de praktijk.
Meer kwetsbaarheid rapporten:
Onderzoeker prints ‘PWNED!’ op honderden GPS-horloges kaarten te wijten aan de niet vastgelegde APICisco mislukte RV320/RV325 patches, routers nog steeds blootgesteld aan hacks
Kwetsbaarheid gevonden in Xiaomi telefoons’ pre-geïnstalleerde beveiliging appBackdoor code gevonden in de populaire Bootstrap-Sass Ruby libraryApache web server bug subsidies root-toegang op shared hosting environmentsResearcher publiceert Google Chrome exploit op GitHubDJI correcties kwetsbaarheid waarmee potentiële hackers spy drones op CNETTop 10 app kwetsbaarheden: Ongepatchte plug-ins en extensies domineren TechRepublic
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters