Уязвимость в телематической системе MyCar поставила под угрозу десятки тысяч машин
Любой желающий мог изъять из исходного кода приложения MyCar учетные данные и получить контроль над автомобилем.
Производитель популярных телематических систем для автомобилей оставил вшитые учетные данные в своих мобильных приложениях, поставив под угрозу десятки тысяч машин. Уязвимость (CVE-2019-9493) была обнаружена в системе MyCar производства канадской компании Automobility Distribution и в настоящее время уже исправлена. Автомобильные телематические системы представляют собой аппаратные устройства, устанавливаемые в транспортные средства и позволяющие удаленно управлять ими через мобильные приложения. Одной из таких систем является MyCar, позволяющая владельцам машин удаленно прогревать салон зимой, охлаждать летом, открывать и закрывать двери, включать и отключать противоугонные системы, открывать багажник и даже находить автомобиль на переполненной стоянке.
Учитывая широкие возможности, открывающиесе тому, кто авторизуется в приложении MyCar, наличие в нем вшитых учетных данных является серьезной проблемой. Согласно уведомлению безопасности, опубликованному Координационным центром CERT Университета Карнеги-Меллон (США), любой желающий мог извлечь логин и пароль из исходного кода приложения и с их помощью получить контроль над подключенным автомобилем.
Уязвимость была обнаружена исследователем безопасности под псевдонимом Jmaxxz. 25 января нынешнего года он уведомил производителя о проблеме, и через месяц она была исправлена. Пользователям настоятельно рекомендуется обновить свои мобильные приложения MyCar до версий 3.4.24 или более поздних (iOS) и 4.1.2 или более поздних (Android).