image

Hyundai verhelpt kwetsbaarheden in mobiele app

donderdag 27 april 2017, 08:10 door Redactie, 0 reacties

De Zuid-Koreaanse autofabrikant Hyundai heeft updates uitgebracht van de mobiele applicatie Blue Link waarin kwetsbaarheden zijn opgelost die hackers in staat stelden om een auto op afstand te openen en de motor te starten. Blue Link is een app voor Android en iOS waarmee Hyundai-rijders allerlei functies van hun auto op hun mobiel kunnen uitlezen. Ook kunnen ze diverse opdrachten uitvoeren zoals de motor starten, de verwarming bedienen en het voertuig openen of afsluiten.

Beveiligingsonderzoekers van Rapid7 hebben ontdekt dat er twee in potentie serieuze kwetsbaarheden zaten in het logsysteem van de app, schrijft SecurityWeek. In versie 3.9.4 en 3.9.5 van de Blue Link app wordt een versleuteld logbestand via HTTP naar een ip-adres gestuurd. Dit bestand is versleuteld met een symmetrische sleutel die voorgedefinieerd is en door de gebruiker niet veranderd kan worden. Wie het logbestand ontsleutelt, ziet behalve het e-mailadres van de gebruiker, ook de gebruikersnaam, wachtwoord, pincode en historische gps-data.

Volgens Rapid7 was het mogelijk om met een Man-in-the- Middle-aanval het HTTP-verkeer te onderscheppen en het logbestand en de data daarin te lezen. Met die informatie zou een kwaadwillende een auto kunnen lokaliseren of manipuleren. De kwetsbaarheden zijn al in februari aan het licht gekomen en in maart is de vernieuwde app uitgebracht (Blue Link 3.9.6) waarin de fouten zijn gerepareerd. Voor zover bekend is er geen misbruik gemaakt van de gevonden kwetsbaarheden.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.