Автомобильная телематика: хакеры получили доступ к десяткам тысяч машин

Производитель популярной автомобильной телематической системы MyCar оставил жестко закодированные учетные данные в своих мобильных приложениях, сделав десятки тысяч машин уязвимыми для хакеров.

Зашифрованный пароль в приложениях MyCar для Android и iOS обнаружил независимый исследователь в области безопасности, который сообщил о своем открытии производителю телематических систем, и тот выпустил обновление почти месяц спустя, пишет ZDNet.

Телематика транспортных средств относится к аппаратным компонентам, которые владельцы могут устанавливать в своих автомобилях, чтобы обеспечить возможности дистанционного управления на основе 2G/3G некоторыми функциями авто.

MyCar — одна из самых передовых систем телематики для транспортных средств, предоставляющая множество полезных элементов управления. Так, мобильные приложения позволяют включить предварительный обогрев или охлаждение салона, открывать и закрывать двери, снимать и ставить машину на сигнализацию, открывать багажник, находить свое авто на парковке и пр. Поэтому жестко закодированные учетные данные, оставленные в двух мобильных приложениях MyCar, были огромной проблемой безопасности.

Согласно предупреждению Координационного центра CERT Университета Карнеги-Меллона, до выпуска обновлений любой хакер мог извлечь эти жестко закодированные учетные данные из исходного кода приложения и использовать их вместо имени пользователя и пароля, получив таким образом контроль над всеми подключенными автомобилями.

Эксперты утверждают, что компания в принципе не должна была использовать жестко закодированные учетные данные в своем приложении, так как это считается плохой практикой безопасности.