Rambler's Top100
Реклама
 
Все новости Новости отрасли

Угнать авто через приложение

04 мая 2017

В мае 2017 года компания Hyundai выпустила исправление для своего мобильного приложения, ошибка в котором позволяла злоумышленникам угонять машины.

Приложение Blue Link позволяет управлять некоторыми ключевыми функциями автомобиля с мобильного устройства — смартфона или «умных» часов. В версиях приложения 3.9.4 и 3.9.5 обнаружилась «катастрофическая» уязвимость, позволявшая перехватывать контроль над приложением. При наихудшем сценарии злоумышленники могли снимать блокировку с дверей, запускать двигатель автомобиля и совершать угон.

Брешь обнаружили эксперты компании Rapid7 Уилл Хэтцер (Will Hatzer) и Арджен Кумар (Arjun Kumar). Как им удалось выяснить, уязвимые версии приложения несколько раз в день выгружают логи работы приложения на удаленный сервер. Загрузка осуществляется через HTTP (то есть, небезопасное соединение), но все данные шифруются на смартфоне. Проблема в том, что ключ шифрования — один и тот же для всех пользователей Blue Link (1986l12Ov09e), его невозможно изменить и к тому же он зашит в исходный код приложения.

С помощью этого пароля злоумышленник может расшифровать логи приложения, загружаемые на серверы Hyundai, и извлечь оттуда множество полезной информации, в том числе имя пользователя, пароль, PIN и данные GPS.

Используя имя пользователя и пароль, злоумышленник может войти в личный аккаунт автовладельца, поменять PIN на собственный, тем самым привязав автомобиль к своему собственному приложению и затем угнать машину.

Впрочем, есть одно «но»: для успешного перехвата данных, идущих с мобильного приложения на сервер, злоумышленник должен находиться в одной беспроводной сети с будущей жертвой. Это можно устроить с помощью подконтрольной злоумышленнику точки доступа в WiFi-сеть. Blue Link позволяет снимать блокировку с дверей только у машин Hyundai, выпущенных после 2012 года.

Hyundai уже выпустила новую версию приложения (3.9.6). Всем пользователям Blue Link настоятельно рекомендуется установить ее как можно скорее.

Источник: TAdviser

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Читайте также:

Авито Тех впервые вывел на рынок собственное ПО

Разработан мобильный обходчик для ОС Аврора

Ростех создал приложение для защиты личной информации на смартфонах

Водители не боятся хакеров

В Москве запустили мобильное приложение «Мой id»

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.