MyCar应用程序使黑客很容易远程定位,控制连接的

 新闻资讯     |      2019-04-19 16:35

最近在MyCar中发现了一个后门,这是一款智能手机应用程序,可以为旧车提供一定程度的联网汽车技术和能力。该漏洞最近被修补,使攻击者能够读取遥测技术,甚至可以在不需要所有者凭据的情况下向不知情的车辆发送命令。

发现MyCar已经发布了硬编码到软件中的管理员凭证。如果被利用,这个特殊漏洞可能允许不良行为者在未经他们同意或甚至不知道其车辆凭证的情况下访问特定用户的帐户。一旦获得访问权限,攻击者可以解锁车辆,启动发动机,更换车辆的HVAC控制,甚至找到车辆的当前位置。

Accord应用程序的开发人员AutoMobility Distribution早在1月就已经了解了这个漏洞,并且一直在努力解决这个问题。目前还不清楚该漏洞是否在被修补之前已经在野外使用。

“从那时起,我们掌握的所有资源都被用来迅速解决问题,我们已经完全解决了这个问题。”开发商在给安全公司 Sophos的一份声明中说。 “在此漏洞期间,我们的系统未向我们报告或检测到隐私或功能受损的实际事件或问题。”

该漏洞由Carnegie Mellon的CERT部门本周早些时候发布,注意到该漏洞已在iOS和Android平台上进行了修补奥姆斯。旧版本应用程序的用户需要进行更新才能再次获得其设备的功能,因为以前的硬编码管理员凭据已被撤销,以防止攻击者继续访问。

以下应用程序所有使用MyCar解决方案的重新命名版本并且在更新之前容易受到攻击:

  • Carlink
  • Linkr
  • MyCar起亚
  • 愿景MyCar

虽然这种特殊的攻击方式相对令人担忧,但这并不是什么东西可以解决矛。车辆以便利性的名义变得越来越紧密。一些汽车制造商使用连接服务发送车队范围内的无线更新,而其他汽车制造商则将更严重的数据发送回家他是母舰。

实际上,汽车正在变得越来越大,在物联网上移动节点。现在,我并不是说你将驾驶一种武器化导弹转向轮子,但是,如果选择为车辆配备连接服务,那么保护消费者免受坏人的影响就成了汽车制造商的责任。像pwn2own一样参与hack-a-thons可以帮助汽车制造商在进入野外之前找到漏洞。此外,利用臭虫赏金鼓励安全研究人员交出他们的调查结果以换取一小袋现金。

国家行为者也可能构成严重关切,无论是外国人还是国内人。臭名昭着的举报人Julian Assange(最近在伦敦被捕)在2017年曝光了一个巨大的黑客武器库由“现任或前任”中情局承包商承担。据说这个工具包包括各种控制物联网和移动设备的工具,这会给消费者带来红旗,这些消费者不知道谁可以访问他们的驾驶数据。在中国,联网汽车的汽车制造商实际上将数据反馈到中央国家控制的存储库是司空见惯的。

随着越来越多的车辆成为面向互联网的车辆,消费者和行业的最佳利益是要非常认真地对待安全;从OEM零件到连接的售后附加配件。对于每个戴着锡箔帽的人来说,现在是时候开始从今天的时代开始囤积汽车车队了。