image

Lek in telematica-app kon aanvaller toegang tot auto's geven

dinsdag 9 april 2019, 11:47 door Redactie, 4 reacties

Een beveiligingslek in een app waarmee op afstand auto's kunnen worden bediend maakte het mogelijk voor aanvallers om voertuigen te ontgrendelen en de locatie te bepalen. MyCar Controls is een smartphone-app waarmee het mogelijk is om op afstand verbinding met de auto te maken.

Gebruikers kunnen vanaf over de hele wereld de deuren van hun auto openen of op slot doen, de auto starten of stoppen en de locatie achterhalen. Om van MyCar Controls gebruik te kunnen maken moet er naast de app ook een remote starter in de auto zijn geïnstalleerd. Daarnaast wordt het telematicasysteem vooralsnog alleen in Noord-Amerika ondersteund. Onderzoekers ontdekten dat de MyCar Controls-app over hard-coded beheerdersgegevens beschikt. Deze inloggegevens zijn te gebruiken in plaats van de gebruikersnaam en het wachtwoord van de gebruiker.

Hierdoor kan een ongeautenticeerde aanvaller op afstand opdrachten naar de auto sturen. Zo is het bijvoorbeeld mogelijk om de locatie van een voertuig te achterhalen of ongeautoriseerde fysieke toegang tot de auto te krijgen, zo meldt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Het beveiligingslek was aanwezig in versies voor 3.4.24 voor iOS en versies voor 4.1.2 voor Android. In de nieuwste versies van de app is de kwetsbaarheid verholpen. Daarnaast zijn de hard-coded beheerderswachtwoorden ingetrokken zodat ze niet meer werken. De Androidversie van de app heeft meer dan 10.000 installaties.

Image

Reacties (4)
09-04-2019, 13:20 door Anoniem
Een zoveelste voorbeeld van een product zonder security by design. Ik kijk nergens meer van op in deze wereld van time to market cowboys. Gelukkig vertrouw ik zulke toepassingen nooit, ook niet voor deurslot systemen. je beveiliging in handen geven van een derde is niet bepaald slim te noemen.

Hoeveel meer van dit soort dingen gaan we nog zien.
09-04-2019, 13:44 door [Account Verwijderd]
'Gebruikers kunnen vanaf over de hele wereld de deuren van hun auto openen of op slot doen, de auto starten'

Verdorie da's toch wel erg handig. Dat heb ik al die jaren dat ik in Schiedam werkte en woonde in Rotterdam heel erg gemist: Mijn auto starten in Rotterdam als ik in..... Schiedam op kantoor zat.

Subliem!

'MYCAR wirelessly connects and control your vehicle providing: Engine start'
Het intellect dat dit soort noviteiten voor de kritische veeleisende automobilist ontwikkelt, verdient een eervolle vermelding.

Oh ja hun site heeft nog een bijzonderheid: Zij ondersteunt nog SSLv.3.
https://toolbar.netcraft.com/site_report?url=https://mycarcontrols.com
Je weet maar nooit voor wie dat ook nog eens handig kan zijn...
09-04-2019, 15:27 door Anoniem
Door Anoniem: Een zoveelste voorbeeld van een product zonder security by design. Ik kijk nergens meer van op in deze wereld van time to market cowboys. Gelukkig vertrouw ik zulke toepassingen nooit, ook niet voor deurslot systemen. je beveiliging in handen geven van een derde is niet bepaald slim te noemen.

Hoeveel meer van dit soort dingen gaan we nog zien.

Wat wil je dan? Terug naar 1979 met injectie computers bestaandr uit passieve componenten zoals weerstanden enzo? Daar kun je ook een app op aansluiten om te tunen, je moet dan piggybacken. Moderne autos hebben 3 tot 5 digitale boordcomputers en 1 of meerdere interface bussen voor diagnostiek enz. Hoe meer je daarop aansluit...
10-04-2019, 15:18 door Anoniem
Door Anoniem:Wat wil je dan? Terug naar 1979 met injectie computers bestaandr uit passieve componenten zoals weerstanden enzo? Daar kun je ook een app op aansluiten om te tunen, je moet dan piggybacken. Moderne autos hebben 3 tot 5 digitale boordcomputers en 1 of meerdere interface bussen voor diagnostiek enz. Hoe meer je daarop aansluit...

Wat we dan willen is software met "security by design", niet "security non-existant or as afterthought".

Maar dat is teveel gevraagd en wordt niet begrepen, zoals ook uit jouw reactie blijkt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.