Десятки тысяч автомобилей остались открытыми для воров из-за жесткого пароля

Патч был выпущен в середине февраля, и учетные данные были закодированы.

Каталин Чимпану за нулевой день | 9 апреля 2019 года. 17:10 GMT (10:10 PDT) | Тема: Безопасность

Автомобиль-vehicle.jpg

Десятки тысяч автомобилей остались открытыми для воров из-за жесткого пароля

Производитель популярной автомобильной телематической системы оставил жестко закодированные учетные данные в своих мобильных приложениях, оставив десятки тысяч автомобилей уязвимыми для хакеров.

Безопасность

Смотрите так же

После Перезагрузки Айфон Требует Пароль Что Делать... В этой статье описывается, как задавать, использовать и поменять код-пароль на устройстве iOS. Для защиты данных задайте на собственном устройстве iOS...
Как Разблокировать Телефон Если Забыл Пароль Flyme... Разблокировка Meizu при позабытом пароле Графический или цифровой ключ является одним из действенных средств для защиты устройств от посторониих лиц. ...
Забыл Пароль Графического Ключа Телефона Что Делат... Самой всераспространенной предпосылкой блокировки телефона либо планшета является огромное количество попыток неверного ввода PIN-кода. Может быть вы ...

Обновления безопасности, которые удаляют жестко закодированные учетные данные, стали доступны для приложений MyCar для Android и iOS с середины февраля, сообщил сегодня ZDNet исследователь безопасности, обнаруживший эту проблему.

Аналогично, жестко закодированные учетные данные также были удалены со стороны сервера, чтобы предотвратить любые злоупотребления в отношении пользователей, которые не смогли обновить свои приложения.

Уязвимость влияет на телематическую систему MyCar

Уязвимость, обозначаемая как CVE-2019-9493, влияет на телематическую систему MyCar, продаваемую в Квебеке на основе Automobility Distribution.

Для читателей ZDNet, не знающих этого термина, телематика транспортных средств относится к аппаратным компонентам, которые владельцы автомобилей могут устанавливать в своих автомобилях, чтобы обеспечить возможности дистанционного управления на основе 2G / 3G для определенных функций автомобиля.

MyCar. одна из самых передовых систем телематики для транспортных средств, предоставляющая множество полезных элементов управления. Согласно веб-сайту MyCar, пользователи могут использовать мобильные приложения MyCar «для предварительного обогрева салона вашего автомобиля зимой, его предварительного охлаждения летом, запирания и отпирания дверей, постановки и снятия с охраны системы безопасности вашего автомобиля, открытия багажника. и даже найти свою машину на парковке. "

По этим причинам жестко закодированные учетные данные, оставленные в двух мобильных приложениях MyCar, были огромным недостатком безопасности.

Смотрите так же

Как Разблокировать Планшет Asus Если Забыл Пароль... Обычно, в современном мире планшеты владеют возможностью установки в качестве защиты инфы как обыденного пароль-кода, так и его графического собрата. ...
Как Можно Разблокировать Айфон Если Забыл Пароль... Если вы запамятовали пароль от айфона и не понимаете, что с ним делать, воспользуйтесь конкретно предложенным методом, потому что разблокировать айфон...
Xiaomi Redmi Note 3 Pro Забыл Пароль У каждого юзера Android телефона приходит момент, когда нужно сделать сброс опций. К примеру, вы планируете реализовать собственный телефон, либо же ...

Жестко закодированные учетные данные удваиваются как альтернативная система входа

Согласно предупреждению системы безопасности, разосланному в понедельник Координационным центром CERT Университета Карнеги-Меллона, перед обновлениями любой участник угроз мог извлечь эти жестко закодированные учетные данные из исходного кода приложения и использовать их «вместо имени пользователя и пользователя». пароль для связи с конечной точкой сервера для учетной записи целевого пользователя, предоставляющий полный контроль над всеми подключенными автомобилями. например, при обнаружении, разблокировке и запуске любых подключенных автомобилей.

Это смешнее, чем на самом деле, это было использовано в процессе создания учетной записи. Нужно было API, чтобы проверить, использовался ли указанный вами адрес электронной почты. Но «все» Apis требует авторизации. Так как же авторизоваться, прежде чем иметь аккаунт? Ответ один: жестко закодированные админские кредиты

Зашифрованный пароль был обнаружен исследователем безопасности, который выходит в сеть как Jmaxxz. Он сообщил ZDNet, что 25 января уведомил об Automobility Distribution, и через месяц они выпустили обновление.

Пользователям рекомендуется выполнить обновление до MyCar для iOS версии 3.4.24 или более поздней и до MyCar для Android 4.1.2 или более поздней. Обновление этих двух версий должно исправить любые проблемы.

Распространение Automobility не ответил на запрос о комментарии до публикации этой статьи.

Компания решила проблему безопасности довольно быстро. по сравнению с некоторыми поставщиками IoT, которые исправляют проблемы спустя месяцы или годы. но некоторые эксперты по безопасности утверждают, что компания никогда не должна была использовать жестко закодированные учетные данные в своем приложении, так как это повсеместно считается плохой практикой безопасности.

Смотрите так же

Как Можно Разблокировать Айфон Если Забыл Пароль... Если вы запамятовали пароль от айфона и не понимаете, что с ним делать, воспользуйтесь конкретно предложенным методом, потому что разблокировать айфон...
Как Поставить Пароль На Роутер Тп Линк... Одна из обычных заморочек, с которыми сталкиваются юзеры после покупки роутера, это смена стандартных паролей. В данной статье мы попытаемся прояснить...
Anker s Roav Bolt переносит помощника Google в роз... Эй, Гугл, сядь за руль. Если вы хотите вызвать Google Assistant в своем автомобиле, у вас есть два варианта: включить «Привет, Google» и Smart Lock н...