Автомобільна телематика: хакери отримали доступ до десятків тисяч машин

Виробник популярної автомобільної телематичної системи MyCar залишив жорстко закодовані облікові дані у своїх мобільних застосунках, зробивши десятки тисяч машин уразливими для хакерів.

Зашифрований пароль у додатках MyCar для Android і iOS виявив незалежний дослідник в галузі безпеки, який повідомив про своє відкриття виробникові телематичних систем, і той випустив оновлення майже місяць по тому, пише ZDNet.

Телематика транспортних засобів відноситься до апаратних компонентів, які власники можуть встановлювати у своїх автомобілях, щоб забезпечити можливості дистанційного керування на основі 2G/3G деякими функціями авто.

MyCar — одна з найбільш передових систем телематики для транспортних засобів, що забезпечує безліч корисних елементів управління. Так, мобільні застосунки дозволяють увімкнути попередній обігрів або охолодження салону, відчиняти і зачиняти двері, знімати і ставити машину на сигналізацію, відчиняти багажник, знаходити своє авто на парковці тощо. Тому жорстко закодовані облікові дані, залишені у двох мобільних додатках MyCar, були величезною проблемою безпеки.

Згідно з попередженням Координаційного центру CERT Університету Карнегі-Меллона, до випуску оновлень будь-який хакер міг витягти ці жорстко закодовані облікові дані з вихідного коду програми і використати їх замість імені користувача та пароля, отримавши таким чином контроль над усіма підключеними автомобілями.

Експерти стверджують, що компанія в принципі не повинна була використовувати жорстко закодовані облікові дані у своєму додатку, оскільки це вважається поганою практикою безпеки.