移动应用程序暴露密码和启用汽车盗窃

MyCar Controls Security Vulnerability

正如您可能知道的那样,将日常物品连接到互联网的趋势通常被称为物联网(IoT)革命,尽管如今,在使用像“革命”这样的词时我们应该非常小心,在这种特殊情况下,它看起来似乎很合适。在我们的手机连接到互联网后不久,它们基本上粘在了我们的手上,各种物品的制造商决定我们必须将它们用于一切 - 从打开灯到绘制智能吸尘器的路线。这不仅仅是房子周围的东西。

越来越多的新车配备了手机应用程序,可让您远程打开或关闭交流电源,解锁车门,甚至启动发动机。问题是,虽然智能灯泡比它的“哑”灯泡更贵,但大多数人都买得起。对于新车,情况并非如此。

尽管如此,如果你决定享受通过手机控制汽车的好处,如果你花了几百美元,你可以购买并安装一些硬件,在手机上下载应用程序,然后你也可以使你的旧笨蛋“聪明”。问题是,你可能也会把它置于危险之中。

远程启动应用程序或joyrider的梦想

其中一个让您“智能化”旧车的售后服务称为MyCar Controls。它与几个品牌的硬件兼容,可由专家自由购买和安装,该应用程序可在App StoreGoogle Play上使用

然而,仔细阅读评论,你会发现,特别是在过去的几周里,应用程序一直行为不端。人们一直在遇到连接问题,他们无法登录到他们的帐户 - 这是使用应用程序功能的必要步骤,其中包括定位联网汽车,解锁车门和启动引擎等。

开发和销售MyCar Controls应用程序的公司Automobility Distribution没有回应负面评论,但卡内基梅隆大学CERT协调中心的安全警报可能只是告诉我们发生了什么。

它于周一发布,它谈到了MyCar Controls移动应用程序中的一个漏洞,它可能让“远程未经验证的攻击者”与应用程序的后端通信,检索一些数据,并连接到目标的汽车。换句话说,这个漏洞可能导致汽车被盗。

这个漏洞是在1月份由一位名为Jmaxxz的安全研究人员发现的,他立即通知了汽车配电。今年2月,开发人员修补了版本为3.4.24 for iOS和4.1.2 for Android的漏洞。

这尚未得到确认,但时间表明更新可能至少导致评论中报告的一些登录问题. 当被ZDNet评论时,Automobility Distribution表示没有任何人在野外利用这个漏洞。

硬编码凭证 - 最简单的安全错误

一些安全漏洞可能会比其他漏洞带来更严重的后果,不用说,更严重的漏洞应该被视为具有更高的优先级。 MyCar Controls的错误,你必须同意,是一个很大的错误,必须说通过快速生成补丁,Automobility Distribution处理得相当好,特别是与其他一些物联网供应商相比。

安全专家认为,这个漏洞本来就不应该存在。由于可以使用某些管理凭据而不是目标的用户名和密码,因此可能发生攻击。 MyCar Controls的开发人员在应用程序代码中留下了管理员凭据,就安全性错误而言,这是一个非常基本的代码。凭证已被撤销,意味着威胁不再存在。不过,这个故事有一个相当令人沮丧的道德。

由于物联网革命,我们正在将越来越多有价值的物品交给开发人员,他们可能知道或不知道他们在做什么。想想下次你正在考虑把钱花在像智能婴儿车这样傻傻的东西上时。是的, 有一个

April 12, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
3 + 7是什么?