移動應用程序暴露密碼和啟用汽車盜竊
正如您可能知道的那樣,將日常物品連接到互聯網的趨勢通常被稱為物聯網(IoT)革命,儘管如今,在使用像“革命”這樣的詞時我們應該非常小心,在這種特殊情況下,它看起來似乎很合適。在我們的手機連接到互聯網後不久,它們基本上粘在了我們的手上,各種物品的製造商決定我們必須將它們用於一切 - 從打開燈到繪製智能吸塵器的路線。這不僅僅是房子周圍的東西。
越來越多的新車配備了手機應用程序,可讓您遠程打開或關閉交流電源,解鎖車門,甚至啟動發動機。問題是,雖然智能燈泡比它的“啞”燈泡更貴,但大多數人都買得起。對於新車,情況並非如此。
儘管如此,如果你決定享受通過手機控制汽車的好處,如果你花了幾百美元,你可以購買並安裝一些硬件,在手機上下載應用程序,然後你也可以使你的舊笨蛋“聰明”。問題是,你可能也會把它置於危險之中。
遠程啟動應用程序或joyrider的夢想
其中一個讓您“智能化”舊車的售後服務稱為MyCar Controls。它與幾個品牌的硬件兼容,可由專家自由購買和安裝,該應用程序可在App Store和Google Play上使用 。
然而,仔細閱讀評論,你會發現,特別是在過去的幾周里,應用程序一直行為不端。人們一直在遇到連接問題,他們無法登錄到他們的帳戶 - 這是使用應用程序功能的必要步驟,其中包括定位聯網汽車,解鎖車門和啟動引擎等。
開發和銷售MyCar Controls應用程序的公司Automobility Distribution沒有回應負面評論,但卡內基梅隆大學CERT協調中心的安全警報可能只是告訴我們發生了什麼。
它於週一發布,它談到了MyCar Controls移動應用程序中的一個漏洞,它可能讓“遠程未經驗證的攻擊者”與應用程序的後端通信,檢索一些數據,並連接到目標的汽車。換句話說,這個漏洞可能導致汽車被盜。
這個漏洞是在1月份由一位名為Jmaxxz的安全研究人員發現的,他立即通知了汽車配電。今年2月,開發人員修補了版本為3.4.24 for iOS和4.1.2 for Android的漏洞。
這尚未得到確認,但時間表明更新可能至少導致評論中報告的一些登錄問題. 當被ZDNet評論時,Automobility Distribution表示沒有任何人在野外利用這個漏洞。
硬編碼憑證 - 最簡單的安全錯誤
一些安全漏洞可能會比其他漏洞帶來更嚴重的後果,不用說,更嚴重的漏洞應該被視為具有更高的優先級。 MyCar Controls的錯誤,你必須同意,是一個很大的錯誤,必須說通過快速生成補丁,Automobility Distribution處理得相當好,特別是與其他一些物聯網供應商相比。
安全專家認為,這個漏洞本來就不應該存在。由於可以使用某些管理憑據而不是目標的用戶名和密碼,因此可能發生攻擊。 MyCar Controls的開發人員在應用程序代碼中留下了管理員憑據,就安全性錯誤而言,這是一個非常基本的代碼。憑證已被撤銷,意味著威脅不再存在。不過,這個故事有一個相當令人沮喪的道德。
由於物聯網革命,我們正在將越來越多有價值的物品交給開發人員,他們可能知道或不知道他們在做什麼。想想下次你正在考慮把錢花在像智能嬰兒車這樣傻傻的東西上時。是的, 有一個 。