Een beveiligingslek in een app waarmee op afstand auto's kunnen worden bediend maakte het mogelijk voor aanvallers om voertuigen te ontgrendelen en de locatie te bepalen. MyCar Controls is een smartphone-app waarmee het mogelijk is om op afstand verbinding met de auto te maken.
Gebruikers kunnen vanaf over de hele wereld de deuren van hun auto openen of op slot doen, de auto starten of stoppen en de locatie achterhalen. Om van MyCar Controls gebruik te kunnen maken moet er naast de app ook een remote starter in de auto zijn geïnstalleerd. Daarnaast wordt het telematicasysteem vooralsnog alleen in Noord-Amerika ondersteund. Onderzoekers ontdekten dat de MyCar Controls-app over hard-coded beheerdersgegevens beschikt. Deze inloggegevens zijn te gebruiken in plaats van de gebruikersnaam en het wachtwoord van de gebruiker.
Hierdoor kan een ongeautenticeerde aanvaller op afstand opdrachten naar de auto sturen. Zo is het bijvoorbeeld mogelijk om de locatie van een voertuig te achterhalen of ongeautoriseerde fysieke toegang tot de auto te krijgen, zo meldt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Het beveiligingslek was aanwezig in versies voor 3.4.24 voor iOS en versies voor 4.1.2 voor Android. In de nieuwste versies van de app is de kwetsbaarheid verholpen. Daarnaast zijn de hard-coded beheerderswachtwoorden ingetrokken zodat ze niet meer werken. De Androidversie van de app heeft meer dan 10.000 installaties.
Deze posting is gelocked. Reageren is niet meer mogelijk.