移动应用程序暴露密码和启用汽车盗窃

正如您可能知道的那样，将日常物品连接到互联网的趋势通常被称为物联网（IoT）革命，尽管如今，在使用像“革命”这样的词时我们应该非常小心，在这种特殊情况下，它看起来似乎很合适。在我们的手机连接到互联网后不久，它们基本上粘在了我们的手上，各种物品的制造商决定我们必须将它们用于一切 - 从打开灯到绘制智能吸尘器的路线。这不仅仅是房子周围的东西。

越来越多的新车配备了手机应用程序，可让您远程打开或关闭交流电源，解锁车门，甚至启动发动机。问题是，虽然智能灯泡比它的“哑”灯泡更贵，但大多数人都买得起。对于新车，情况并非如此。

尽管如此，如果你决定享受通过手机控制汽车的好处，如果你花了几百美元，你可以购买并安装一些硬件，在手机上下载应用程序，然后你也可以使你的旧笨蛋“聪明”。问题是，你可能也会把它置于危险之中。

远程启动应用程序或joyrider的梦想

其中一个让您“智能化”旧车的售后服务称为MyCar Controls。它与几个品牌的硬件兼容，可由专家自由购买和安装，该应用程序可在App Store和Google Play上使用 。

然而，仔细阅读评论，你会发现，特别是在过去的几周里，应用程序一直行为不端。人们一直在遇到连接问题，他们无法登录到他们的帐户 - 这是使用应用程序功能的必要步骤，其中包括定位联网汽车，解锁车门和启动引擎等。

开发和销售MyCar Controls应用程序的公司Automobility Distribution没有回应负面评论，但卡内基梅隆大学CERT协调中心的安全警报可能只是告诉我们发生了什么。

它于周一发布，它谈到了MyCar Controls移动应用程序中的一个漏洞，它可能让“远程未经验证的攻击者”与应用程序的后端通信，检索一些数据，并连接到目标的汽车。换句话说，这个漏洞可能导致汽车被盗。

这个漏洞是在1月份由一位名为Jmaxxz的安全研究人员发现的，他立即通知了汽车配电。今年2月，开发人员修补了版本为3.4.24 for iOS和4.1.2 for Android的漏洞。

这尚未得到确认，但时间表明更新可能至少导致评论中报告的一些登录问题. 当被ZDNet评论时，Automobility Distribution表示没有任何人在野外利用这个漏洞。

硬编码凭证 - 最简单的安全错误

一些安全漏洞可能会比其他漏洞带来更严重的后果，不用说，更严重的漏洞应该被视为具有更高的优先级。 MyCar Controls的错误，你必须同意，是一个很大的错误，必须说通过快速生成补丁，Automobility Distribution处理得相当好，特别是与其他一些物联网供应商相比。

安全专家认为，这个漏洞本来就不应该存在。由于可以使用某些管理凭据而不是目标的用户名和密码，因此可能发生攻击。 MyCar Controls的开发人员在应用程序代码中留下了管理员凭据，就安全性错误而言，这是一个非常基本的代码。凭证已被撤销，意味着威胁不再存在。不过，这个故事有一个相当令人沮丧的道德。

由于物联网革命，我们正在将越来越多有价值的物品交给开发人员，他们可能知道或不知道他们在做什么。想想下次你正在考虑把钱花在像智能婴儿车这样傻傻的东西上时。是的， 有一个 。