MyCar telematika tizimidagi zaiflik o’n minglab avtomobillarni xavf ostiga qo’ydi.
Istalgan kishi MyCar ilovasining manba kodidan hisob ma’lumotlarini olishi va avtomobilni boshqarishi mumkin.
Mashhur avtomobil telematika tizimlarini ishlab chiqaruvchi kompaniya o’zining mobil ilovalarida o’rnatilgan ma’lumotlarni qoldirib, o’n minglab transport vositalarini xavf ostiga qo’ydi. Zaiflik (CVE-2019-9493) Kanadaning Automobility Distribution kompaniyasi tomonidan ishlab chiqarilgan MyCar tizimida aniqlandi va endi tuzatildi. Avtomobil telematika tizimlari – bu transport vositalariga o’rnatilgan apparat qurilmalari bo’lib, ularni mobil ilovalar orqali masofadan boshqarish imkonini beradi. Shunday tizimlardan biri MyCar bo’lib, u egalariga qishda salonni masofadan turib isitish, yozda sovutish, eshiklarni qulflash va ochish, o’g’irlikka qarshi tizimlarni yoqish va o’chirish, yukxonani ochish va hatto avtomobilni gavjum avtoturargohda topish imkonini beradi.
MyCar ilovasiga kirgan har bir kishi uchun mavjud bo’lgan keng imkoniyatlarni hisobga olgan holda, qattiq kodlangan hisob ma’lumotlarining mavjudligi jiddiy tashvish tug’diradi. Carnegie Mellon universiteti CERT muvofiqlashtirish markazi (AQSh) tomonidan nashr etilgan xavfsizlik bo’yicha maslahatga ko’ra, istalgan kishi ilovaning manba kodidan login va parol ma’lumotlarini olishi va ulardan ulangan avtomobilni boshqarish uchun foydalanishi mumkin.
Zaiflik Jmaxxz taxallusidan foydalangan xavfsizlik tadqiqotchisi tomonidan aniqlandi. U ishlab chiqaruvchiga muammo haqida shu yilning 25-yanvarida xabar berdi va bir oy o’tgach, u tuzatildi. Foydalanuvchilarga MyCar mobil ilovalarini 3.4.24 yoki undan keyingi (iOS) va 4.1.2 yoki undan keyingi (Android) versiyalariga yangilash tavsiya etiladi.
