Lek in telematica-app kon aanvaller toegang tot auto's geven
Een beveiligingslek in een app waarmee op afstand auto's kunnen worden bediend maakte het mogelijk voor aanvallers om voertuigen te ontgrendelen en de locatie te bepalen. MyCar Controls is een smartphone-app waarmee het mogelijk is om op afstand verbinding met de auto te maken.
Gebruikers kunnen vanaf over de hele wereld de deuren van hun auto openen of op slot doen, de auto starten of stoppen en de locatie achterhalen. Om van MyCar Controls gebruik te kunnen maken moet er naast de app ook een remote starter in de auto zijn geïnstalleerd. Daarnaast wordt het telematicasysteem vooralsnog alleen in Noord-Amerika ondersteund. Onderzoekers ontdekten dat de MyCar Controls-app over hard-coded beheerdersgegevens beschikt. Deze inloggegevens zijn te gebruiken in plaats van de gebruikersnaam en het wachtwoord van de gebruiker.
Hierdoor kan een ongeautenticeerde aanvaller op afstand opdrachten naar de auto sturen. Zo is het bijvoorbeeld mogelijk om de locatie van een voertuig te achterhalen of ongeautoriseerde fysieke toegang tot de auto te krijgen, zo meldt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Het beveiligingslek was aanwezig in versies voor 3.4.24 voor iOS en versies voor 4.1.2 voor Android. In de nieuwste versies van de app is de kwetsbaarheid verholpen. Daarnaast zijn de hard-coded beheerderswachtwoorden ingetrokken zodat ze niet meer werken. De Androidversie van de app heeft meer dan 10.000 installaties.
Hoeveel meer van dit soort dingen gaan we nog zien.
Verdorie da's toch wel erg handig. Dat heb ik al die jaren dat ik in Schiedam werkte en woonde in Rotterdam heel erg gemist: Mijn auto starten in Rotterdam als ik in..... Schiedam op kantoor zat.
Subliem!
'MYCAR wirelessly connects and control your vehicle providing: Engine start'
Het intellect dat dit soort noviteiten voor de kritische veeleisende automobilist ontwikkelt, verdient een eervolle vermelding.
Oh ja hun site heeft nog een bijzonderheid: Zij ondersteunt nog SSLv.3.
https://toolbar.netcraft.com/site_report?url=https://mycarcontrols.com
Je weet maar nooit voor wie dat ook nog eens handig kan zijn...
Hoeveel meer van dit soort dingen gaan we nog zien.
Wat wil je dan? Terug naar 1979 met injectie computers bestaandr uit passieve componenten zoals weerstanden enzo? Daar kun je ook een app op aansluiten om te tunen, je moet dan piggybacken. Moderne autos hebben 3 tot 5 digitale boordcomputers en 1 of meerdere interface bussen voor diagnostiek enz. Hoe meer je daarop aansluit...
Wat we dan willen is software met "security by design", niet "security non-existant or as afterthought".
Maar dat is teveel gevraagd en wordt niet begrepen, zoals ook uit jouw reactie blijkt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
