Μια εφαρμογή smartphone που χρησιμοποιείται για τον έλεγχο οχημάτων σε ολόκληρη τη Βόρεια Αμερική άφηνε του χρήστες ευρύτατα εκτεθειμένους στους hacker, σύμφωνα με δημοσίευση του Sophos. Η εφαρμογή MyCar, από την AutoMobility Distribution που εδρεύει στο Καναδά, επέτρεψε σε όποιον ήξερε για την ευπάθεια να ελέγχει, να παρακολουθεί και να έχει πρόσβαση σε οχήματα από μη εξουσιοδοτημένη συσκευή, ανέφεραν οι ειδικοί.
Το MyCar είναι μια εφαρμογή διαθέσιμη σε συσκευές iOS και Android στην οποία οι χρήστες μπορούν να εγκαταστήσουν συνδεδεμένες συσκευές στα αυτοκίνητά τους, μετατρέποντάς τις σε συσκευές IoT και να τις ελέγξουν μέσω μιας κυψελοειδούς σύνδεσης. Σύμφωνα με την ιστοσελίδα της, η εφαρμογή MyCar επιτρέπει στους χρήστες να ελέγχουν τα αυτοκίνητά τους εξ αποστάσεως από οπουδήποτε επικοινωνώντας με μία από αυτές τις συσκευές μέσω των server της AutoMobility Distribution.
Οι χρήστες μπορούν απομακρυσμένα να ανάψουν την μηχανή του αυτοκινήτου τους, να κλειδώσουν και να ξεκλειδώσουν τα οχήματα ή να τα εντοπίσουν. Άλλα χαρακτηριστικά περιλαμβάνουν τη λήψη της θερμοκρασίας και των επιπέδων της μπαταρίας του οχήματος και την κοινή χρήση του οχήματός σας με άλλους χρήστες ή ακόμα και τη μεταφορά του σε νέο ιδιοκτήτη.
Η εταιρεία πωλεί την εφαρμογή βάσει ενός πλάνου service. Οι χρήστες λαμβάνουν την εφαρμογή smartphone, τη συσκευή hardware για εγκατάσταση στο αυτοκίνητό τους και την υπηρεσία για μια καθορισμένη περίοδο ενός ή τριών ετών.
Όλα αυτά ακούγονται πολύ βολικά, ειδικά όταν θέλετε το ωραίο σας αυτοκίνητο να σας περιμένει ζεστό τα κρύα πρωινά του. Δυστυχώς, σύμφωνα με ένα σημείωμα ευπάθειας που εκδόθηκε από το Ινστιτούτο Τεχνολογίας Λογισμικού του Πανεπιστημίου Carnegie Mellon, η εφαρμογή επέτρεπε τουλάχιστον μέχρι πρόσφατα στους hacker να πάρουν τον έλεγχο του αυτοκινήτου σας.
Οι προγραμματιστές της AutoMobility Distribution φαινομενικά ήθελαν να δημιουργήσουν έναν τρόπο που θα άφηνε τους χρήστες να έχουν πρόσβαση σε λειτουργίες στο αυτοκίνητο χωρίς να ανησυχούν για τα ονόματα χρήστη και τους κωδικούς πρόσβασης, έτσι διέπραξαν ένα σοβαρό λάθος στην ανάπτυξη του software: Κωδικοποίησαν τα admin credentials απευθείας στην εφαρμογή.
Η ευπάθεια θα μπορούσε να οδηγήσει σε κάποιες σοβαρές συνέπειες για τους χρήστες, σύμφωνα με το SEI CERT note, επειδή ένας εισβολέας θα μπορούσε να εξαγάγει τα credentials από τον πηγαίο κώδικα και να τα χρησιμοποιήσει για να επικοινωνήσει με τον server για να θέσει σε κίνδυνο το όχημα ενός χρήστη:
Ένας απομακρυσμένος un-authenticated εισβολέας ενδέχεται να είναι σε θέση να στείλει εντολές και να ανακτήσει δεδομένα από μια στοχευμένη μονάδα MyCar. Αυτό μπορεί να επιτρέψει στον εισβολέα να μάθει τη θέση ενός στόχου ή να αποκτήσει μη εξουσιοδοτημένη φυσική πρόσβαση σε ένα όχημα.
Η ευπάθεια αναφέρθηκε για πρώτη φορά από έναν ερευνητή του κυβερνοχώρου που ονομάζεται JMaaxz, ο οποίος έκανε την παρακάτω δημοσίευση στο Twitter στα τέλη Μαρτίου:
Στη συνέχεια, ο ίδιος έκανε το παρακάτω tweet και πάλι όταν η ευπάθεια δημοσιοποιήθηκε:
Η εταιρεία AutoMobility Distribution μας είπε ότι ενημερώθηκε για το θέμα τον Ιανουάριο, προσθέτοντας:
Έκτοτε, όλοι οι πόροι που έχουμε στη διάθεσή μας χρησιμοποιήθηκαν για την ταχεία αντιμετώπιση της κατάστασης και επιλύσαμε πλήρως το ζήτημα. Κατά τη διάρκεια αυτής της περιόδου ευπάθειας, κανένα πραγματικό περιστατικό ή ζήτημα με συμβιβασμό απορρήτου ή λειτουργικότητας δεν μας έχει αναφερθεί ή δεν εντοπίστηκε από τα συστήματά μας.
Ευτυχώς, ο κίνδυνος έχει περάσει. Το SEI CERT εξήγησε ότι η AutoMobility έχει ενημερώσει την εφαρμογή της για να καταργήσει τα credentials που έχουν κωδικοποιηθεί και έχει ανακαλέσει τα admin credentials σε παλαιότερες εκδόσεις της εφαρμογής. Άλλες, επανασχεδιασμένες εκδόσεις της εφαρμογής που πωλούνται ως Carlink, Linkr, Visions MyCar και MyCar Kia έχουν επίσης διορθωθεί, πρόσθεσε.
