Nieuws

Lek in telematica-app kon aanvaller toegang tot auto's geven

dinsdag 9 april 2019, 11:47 door Redactie, 4 reacties

Een beveiligingslek in een app waarmee op afstand auto's kunnen worden bediend maakte het mogelijk voor aanvallers om voertuigen te ontgrendelen en de locatie te bepalen. MyCar Controls is een smartphone-app waarmee het mogelijk is om op afstand verbinding met de auto te maken.

Gebruikers kunnen vanaf over de hele wereld de deuren van hun auto openen of op slot doen, de auto starten of stoppen en de locatie achterhalen. Om van MyCar Controls gebruik te kunnen maken moet er naast de app ook een remote starter in de auto zijn geïnstalleerd. Daarnaast wordt het telematicasysteem vooralsnog alleen in Noord-Amerika ondersteund. Onderzoekers ontdekten dat de MyCar Controls-app over hard-coded beheerdersgegevens beschikt. Deze inloggegevens zijn te gebruiken in plaats van de gebruikersnaam en het wachtwoord van de gebruiker.

Hierdoor kan een ongeautenticeerde aanvaller op afstand opdrachten naar de auto sturen. Zo is het bijvoorbeeld mogelijk om de locatie van een voertuig te achterhalen of ongeautoriseerde fysieke toegang tot de auto te krijgen, zo meldt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Het beveiligingslek was aanwezig in versies voor 3.4.24 voor iOS en versies voor 4.1.2 voor Android. In de nieuwste versies van de app is de kwetsbaarheid verholpen. Daarnaast zijn de hard-coded beheerderswachtwoorden ingetrokken zodat ze niet meer werken. De Androidversie van de app heeft meer dan 10.000 installaties.

Minister wil zonder toestemming zorggegevens kunnen uitwisselen

Onderzoekers vinden nieuwe versie beruchte Flame-malware

Reacties (4)

09-04-2019, 13:20 door Anoniem

Een zoveelste voorbeeld van een product zonder security by design. Ik kijk nergens meer van op in deze wereld van time to market cowboys. Gelukkig vertrouw ik zulke toepassingen nooit, ook niet voor deurslot systemen. je beveiliging in handen geven van een derde is niet bepaald slim te noemen.

Hoeveel meer van dit soort dingen gaan we nog zien.

09-04-2019, 13:44 door [Account Verwijderd]

'Gebruikers kunnen vanaf over de hele wereld de deuren van hun auto openen of op slot doen, de auto starten'

Verdorie da's toch wel erg handig. Dat heb ik al die jaren dat ik in Schiedam werkte en woonde in Rotterdam heel erg gemist: Mijn auto starten in Rotterdam als ik in..... Schiedam op kantoor zat.

Subliem!

'MYCAR wirelessly connects and control your vehicle providing: Engine start'
Het intellect dat dit soort noviteiten voor de kritische veeleisende automobilist ontwikkelt, verdient een eervolle vermelding.

Oh ja hun site heeft nog een bijzonderheid: Zij ondersteunt nog SSLv.3.
https://toolbar.netcraft.com/site_report?url=https://mycarcontrols.com
Je weet maar nooit voor wie dat ook nog eens handig kan zijn...

09-04-2019, 15:27 door Anoniem

Door Anoniem: Een zoveelste voorbeeld van een product zonder security by design. Ik kijk nergens meer van op in deze wereld van time to market cowboys. Gelukkig vertrouw ik zulke toepassingen nooit, ook niet voor deurslot systemen. je beveiliging in handen geven van een derde is niet bepaald slim te noemen.

Hoeveel meer van dit soort dingen gaan we nog zien.

Wat wil je dan? Terug naar 1979 met injectie computers bestaandr uit passieve componenten zoals weerstanden enzo? Daar kun je ook een app op aansluiten om te tunen, je moet dan piggybacken. Moderne autos hebben 3 tot 5 digitale boordcomputers en 1 of meerdere interface bussen voor diagnostiek enz. Hoe meer je daarop aansluit...

10-04-2019, 15:18 door Anoniem

Door Anoniem:Wat wil je dan? Terug naar 1979 met injectie computers bestaandr uit passieve componenten zoals weerstanden enzo? Daar kun je ook een app op aansluiten om te tunen, je moet dan piggybacken. Moderne autos hebben 3 tot 5 digitale boordcomputers en 1 of meerdere interface bussen voor diagnostiek enz. Hoe meer je daarop aansluit...

Wat we dan willen is software met "security by design", niet "security non-existant or as afterthought".

Maar dat is teveel gevraagd en wordt niet begrepen, zoals ook uit jouw reactie blijkt.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Vacature

Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime

Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!

Lees meer

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Vacature

Cyber Security Trainer

"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”

Are you ready for a challenge?

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Lek in telematica-app kon aanvaller toegang tot auto's geven

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Wachtwoord Vergeten

Password Reset

Registreren