Рубрикатор |
Все новости | Новости отрасли |
Угнать авто через приложение
04 мая 2017 |
В мае 2017 года компания Hyundai выпустила исправление для своего мобильного приложения, ошибка в котором позволяла злоумышленникам угонять машины.
Приложение Blue Link позволяет управлять некоторыми ключевыми функциями автомобиля с мобильного устройства — смартфона или «умных» часов. В версиях приложения 3.9.4 и 3.9.5 обнаружилась «катастрофическая» уязвимость, позволявшая перехватывать контроль над приложением. При наихудшем сценарии злоумышленники могли снимать блокировку с дверей, запускать двигатель автомобиля и совершать угон.Брешь обнаружили эксперты компании Rapid7 Уилл Хэтцер (Will Hatzer) и Арджен Кумар (Arjun Kumar). Как им удалось выяснить, уязвимые версии приложения несколько раз в день выгружают логи работы приложения на удаленный сервер. Загрузка осуществляется через HTTP (то есть, небезопасное соединение), но все данные шифруются на смартфоне. Проблема в том, что ключ шифрования — один и тот же для всех пользователей Blue Link (1986l12Ov09e), его невозможно изменить и к тому же он зашит в исходный код приложения.
С помощью этого пароля злоумышленник может расшифровать логи приложения, загружаемые на серверы Hyundai, и извлечь оттуда множество полезной информации, в том числе имя пользователя, пароль, PIN и данные GPS.
Используя имя пользователя и пароль, злоумышленник может войти в личный аккаунт автовладельца, поменять PIN на собственный, тем самым привязав автомобиль к своему собственному приложению и затем угнать машину.
Впрочем, есть одно «но»: для успешного перехвата данных, идущих с мобильного приложения на сервер, злоумышленник должен находиться в одной беспроводной сети с будущей жертвой. Это можно устроить с помощью подконтрольной злоумышленнику точки доступа в WiFi-сеть. Blue Link позволяет снимать блокировку с дверей только у машин Hyundai, выпущенных после 2012 года.
Hyundai уже выпустила новую версию приложения (3.9.6). Всем пользователям Blue Link настоятельно рекомендуется установить ее как можно скорее.
Источник: TAdviser
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.