移動應用程序暴露密碼和啟用汽車盜竊

MyCar Controls Security Vulnerability

正如您可能知道的那樣,將日常物品連接到互聯網的趨勢通常被稱為物聯網(IoT)革命,儘管如今,在使用像“革命”這樣的詞時我們應該非常小心,在這種特殊情況下,它看起來似乎很合適。在我們的手機連接到互聯網後不久,它們基本上粘在了我們的手上,各種物品的製造商決定我們必須將它們用於一切 - 從打開燈到繪製智能吸塵器的路線。這不僅僅是房子周圍的東西。

越來越多的新車配備了手機應用程序,可讓您遠程打開或關閉交流電源,解鎖車門,甚至啟動發動機。問題是,雖然智能燈泡比它的“啞”燈泡更貴,但大多數人都買得起。對於新車,情況並非如此。

儘管如此,如果你決定享受通過手機控制汽車的好處,如果你花了幾百美元,你可以購買並安裝一些硬件,在手機上下載應用程序,然後你也可以使你的舊笨蛋“聰明”。問題是,你可能也會把它置於危險之中。

遠程啟動應用程序或joyrider的夢想

其中一個讓您“智能化”舊車的售後服務稱為MyCar Controls。它與幾個品牌的硬件兼容,可由專家自由購買和安裝,該應用程序可在App StoreGoogle Play上使用

然而,仔細閱讀評論,你會發現,特別是在過去的幾周里,應用程序一直行為不端。人們一直在遇到連接問題,他們無法登錄到他們的帳戶 - 這是使用應用程序功能的必要步驟,其中包括定位聯網汽車,解鎖車門和啟動引擎等。

開發和銷售MyCar Controls應用程序的公司Automobility Distribution沒有回應負面評論,但卡內基梅隆大學CERT協調中心的安全警報可能只是告訴我們發生了什麼。

它於週一發布,它談到了MyCar Controls移動應用程序中的一個漏洞,它可能讓“遠程未經驗證的攻擊者”與應用程序的後端通信,檢索一些數據,並連接到目標的汽車。換句話說,這個漏洞可能導致汽車被盜。

這個漏洞是在1月份由一位名為Jmaxxz的安全研究人員發現的,他立即通知了汽車配電。今年2月,開發人員修補了版本為3.4.24 for iOS和4.1.2 for Android的漏洞。

這尚未得到確認,但時間表明更新可能至少導致評論中報告的一些登錄問題. 當被ZDNet評論時,Automobility Distribution表示沒有任何人在野外利用這個漏洞。

硬編碼憑證 - 最簡單的安全錯誤

一些安全漏洞可能會比其他漏洞帶來更嚴重的後果,不用說,更嚴重的漏洞應該被視為具有更高的優先級。 MyCar Controls的錯誤,你必須同意,是一個很大的錯誤,必須說通過快速生成補丁,Automobility Distribution處理得相當好,特別是與其他一些物聯網供應商相比。

安全專家認為,這個漏洞本來就不應該存在。由於可以使用某些管理憑據而不是目標的用戶名和密碼,因此可能發生攻擊。 MyCar Controls的開發人員在應用程序代碼中留下了管理員憑據,就安全性錯誤而言,這是一個非常基本的代碼。憑證已被撤銷,意味著威脅不再存在。不過,這個故事有一個相當令人沮喪的道德。

由於物聯網革命,我們正在將越來越多有價值的物品交給開發人員,他們可能知道或不知道他們在做什麼。想想下次你正在考慮把錢花在像智能嬰兒車這樣傻傻的東西上時。是的, 有一個

April 12, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
10 + 10是什麼?