移動應用程序暴露密碼和啟用汽車盜竊

正如您可能知道的那樣，將日常物品連接到互聯網的趨勢通常被稱為物聯網（IoT）革命，儘管如今，在使用像“革命”這樣的詞時我們應該非常小心，在這種特殊情況下，它看起來似乎很合適。在我們的手機連接到互聯網後不久，它們基本上粘在了我們的手上，各種物品的製造商決定我們必須將它們用於一切 - 從打開燈到繪製智能吸塵器的路線。這不僅僅是房子周圍的東西。

越來越多的新車配備了手機應用程序，可讓您遠程打開或關閉交流電源，解鎖車門，甚至啟動發動機。問題是，雖然智能燈泡比它的“啞”燈泡更貴，但大多數人都買得起。對於新車，情況並非如此。

儘管如此，如果你決定享受通過手機控制汽車的好處，如果你花了幾百美元，你可以購買並安裝一些硬件，在手機上下載應用程序，然後你也可以使你的舊笨蛋“聰明”。問題是，你可能也會把它置於危險之中。

遠程啟動應用程序或joyrider的夢想

其中一個讓您“智能化”舊車的售後服務稱為MyCar Controls。它與幾個品牌的硬件兼容，可由專家自由購買和安裝，該應用程序可在App Store和Google Play上使用 。

然而，仔細閱讀評論，你會發現，特別是在過去的幾周里，應用程序一直行為不端。人們一直在遇到連接問題，他們無法登錄到他們的帳戶 - 這是使用應用程序功能的必要步驟，其中包括定位聯網汽車，解鎖車門和啟動引擎等。

開發和銷售MyCar Controls應用程序的公司Automobility Distribution沒有回應負面評論，但卡內基梅隆大學CERT協調中心的安全警報可能只是告訴我們發生了什麼。

它於週一發布，它談到了MyCar Controls移動應用程序中的一個漏洞，它可能讓“遠程未經驗證的攻擊者”與應用程序的後端通信，檢索一些數據，並連接到目標的汽車。換句話說，這個漏洞可能導致汽車被盜。

這個漏洞是在1月份由一位名為Jmaxxz的安全研究人員發現的，他立即通知了汽車配電。今年2月，開發人員修補了版本為3.4.24 for iOS和4.1.2 for Android的漏洞。

這尚未得到確認，但時間表明更新可能至少導致評論中報告的一些登錄問題. 當被ZDNet評論時，Automobility Distribution表示沒有任何人在野外利用這個漏洞。

硬編碼憑證 - 最簡單的安全錯誤

一些安全漏洞可能會比其他漏洞帶來更嚴重的後果，不用說，更嚴重的漏洞應該被視為具有更高的優先級。 MyCar Controls的錯誤，你必須同意，是一個很大的錯誤，必須說通過快速生成補丁，Automobility Distribution處理得相當好，特別是與其他一些物聯網供應商相比。

安全專家認為，這個漏洞本來就不應該存在。由於可以使用某些管理憑據而不是目標的用戶名和密碼，因此可能發生攻擊。 MyCar Controls的開發人員在應用程序代碼中留下了管理員憑據，就安全性錯誤而言，這是一個非常基本的代碼。憑證已被撤銷，意味著威脅不再存在。不過，這個故事有一個相當令人沮喪的道德。

由於物聯網革命，我們正在將越來越多有價值的物品交給開發人員，他們可能知道或不知道他們在做什麼。想想下次你正在考慮把錢花在像智能嬰兒車這樣傻傻的東西上時。是的， 有一個 。