×
car-vehicle.jpg
Skaberen af det populære køretøj-telematik system har forladt hardcodede legitimationsoplysninger inde i sin mobile apps, der forlader titusinder af biler, der er sårbare over for hackere.
Sikkerhedsopdateringer, der fjerner den indbyggede legitimationsoplysninger, der er blevet gjort tilgængelige for både MyCar Android-og iOS-apps siden midten af februar, sikkerhedsekspert, der fandt dette emne fortalte ZDNet i dag.
På samme måde, hardcodede legitimationsoplysninger blev også fjernet på den server-side for at forhindre ethvert misbrug af brugere, der har undladt at opdatere deres apps.
Sårbarhed virkninger MyCar telematik system
Den sårbarhed, der spores som CVE-2019-9493, påvirker MyCar telematik system, der sælges af Quebec-baseret Automobility Distribution.
For ZDNet læsere unware af udtrykket, køretøjet telematik refererer til hardware komponenter som bilejere kan installere i deres køretøjer til at give 2G – /3G-baseret fjernbetjening kapaciteter over visse af bilens funktioner.
MyCar er en af de mere avancerede køretøjet telematik-systemer, der giver et væld af nyttige kontrol. Ifølge MyCar hjemmeside, at brugerne kan bruge MyCar mobile apps “til at pre-varme din bils kabine i vinter, pre-cool det i sommeren, låse og låse dine døre, arm-og frakoble din bils sikkerhed system, skal du åbne din kuffert, og selv finde din bil på en parkeringsplads.”
Af disse grunde, de hardcodede legitimationsoplysninger til venstre inde i de to MyCar mobile apps var et kæmpe sikkerhedshul.
Hardcodede legitimationsoplysninger fordoblet som alternativ login-system
Ifølge en sikkerhedsadvarsel, der sendes ud mandag ved Carnegie Mellon University CERT Coordination Center, inden de opdateringer, enhver trussel skuespiller kunne have udvundet disse indbyggede legitimationsoplysninger fra app ‘ s kildekode, og de kunne have været brugt “i stedet for en brugers brugernavn og adgangskode til at kommunikere med serveren slutpunkt for et mål brugerens konto,” at give fuld kontrol over alle tilsluttede biler-såsom at lokalisere, låse og starte en tilsluttet biler.
Det er sjovere end det, der rent faktisk blev brugt i oprettelsen af kontoen. Havde en api til at kontrollere, om e-mail-adresse, du angav blev brugt. Men “alle” Api ‘ er, der kræves auth. Så hvordan gør man auth, før du har en konto? Kun ét svar: hardcodede admin creds
— Jmaxxz (@jmaxxz) April 9, 2019
Den indbyggede password blev opdaget af en sikkerhedsekspert, der går online, som Jmaxxz. Han fortalte ZDNet, at han anmeldte Automobility Distribution on January 25, og de har udgivet en opdatering, en måned senere.
Brugerne anbefales at opdatere til MyCar til iOS version 3.4.24 eller senere, og MyCar til Android 4.1.2 eller senere. Opdatering til disse to versioner bør løse eventuelle problemer.
Automobility Distribution svarede ikke på en anmodning om kommentarer inden denne artikel blev offentliggjort.
Virksomheden har løst sit problem med sikkerheden temmelig hurtigt-sammenlignet med nogle af Ti sælgere, der patch spørgsmål efter måneder eller år-men nogle sikkerhedseksperter har gjort gældende, at virksomheden skal have aldrig brugt indbyggede muligheder i app ‘ en i første omgang, da det er alment betragtet som dårlig sikkerhed praksis.
Mere sårbarhed rapporter:
Forsker udskriver ‘PWNED!’ på hundredvis af GPS-ures kort på grund af ukorrigerede APICisco forkludret RV320/RV325 patches, routere stadig er udsat for hacks
Sårbarhed fundet i Xiaomi telefoner ” pre-installeret sikkerhedsopdatering appBackdoor kode, som findes i populær Bootstrap-Sass Ruby libraryApache web-serveren fejl tilskud root-adgang på delt hosting environmentsResearcher offentliggør Google Chrome udnytte på GitHubDJI rettelser svaghed, at lade potentielle hackere spion på droner CNETTop 10 app sårbarheder: Unpatched plugins og udvidelser dominere TechRepublic
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre