Aplikacja Hyundaia ułatwiała życie złodziejom bardziej niż kierowcom

Strona głównaAplikacja Hyundaia ułatwiała życie złodziejom bardziej niż kierowcom
26.04.2017 17:05
Aplikacja Hyundaia ułatwiała życie złodziejom bardziej niż kierowcom

Niedawno opisywaliśmy aplikacje Audi oraz BMW, które dają zdalny dostęp do aut tych marek. Obaj producenci twierdzą, że dbają o bezpieczeństwo, zapewniając wysoką odporność na potencjalne ataki. Mamy nadzieję, że faktycznie tak jest i nie dochodzi do sytuacji jak u Hyundaia. Aplikacja koreańskiego producenta, której zabezpieczenia pozostawiały wiele do życzenia, była najlepszym prezentem dla złodziei, znacząco ułatwiającym im pracę.

Błędy w aplikacji Hyundaia pozwalały złodziejom na łatwiejszą kradzież auta. Zdalny dostęp do samochodu pozwalał im na jego lokalizację, otworzenie, a później pozostawało tylko uruchomienie silnika. Powód? Użycie do zabezpieczenia danych tego samego, stałego klucza szyfrującego. Co jeszcze gorsze, jego wydobycie z aplikacji nie było niczym trudnym.

Hyundai przy jednej z ostatnich aktualizacji swoich aplikacji, zdecydował się na zebranie prywatnych informacji o użytkownikach. Wersje aplikacji MyHyundai with Blue Link na Androida i iOS-a, które oznaczone były numerami 3.9.4 i 3.9.5, przysyłały prywatne dane na serwery Hyundaia. Niestety dla użytkowników, proces odbywał się z wyjątkowo tragicznymi zabezpieczeniami.

Remote Lock, Unlock and Start in Hot Weather | How-To | Hyundai Blue Link®

Aplikacje Hyundaia korzystały ze starego protokołu HTTP, a do zaszyfrowania informacji użyto stałego klucza „1986l12Ov09e”. Ten klucz można było łatwo wydobyć z kodu aplikacji. Każdy napastnik, który podsłuchiwał połączenia pomiędzy aplikacją, a serwerami Hyundaia, mógł pobrać przesyłane dane i je odszyfrować. Zdobyte dane mogły mu pozwolić na zdalny dostęp do samochodu, mógł sprawdzić jego dokładną lokalizację i zdalnie go otworzyć. Auta Hyundaia stawały się łatwy łupem dla złodziei, wręcz w ogóle niezabezpieczonym.

Po dostrzeżeniu podatności Hyundai po cichu wydał aktualizację oprogramowania. Aplikacje w wersji 3.9.6, które od początku marca są już w Google Play i AppStore, mają być pozbawione wcześniejszej podatności. Eksperci, którzy odkryli lukę, dopiero niedawno ją upublicznili. Chcieli dać użytkownikom odpowiednio wiele czasu na zaktualizowanie aplikacji, a skoro proces najczęściej odbywa się automatycznie, to większość powinna posiadać najnowszą wersję.

Podatność miała pojawić się w wersji 3.9.4, wydanej 8 grudnia 2016 roku. Została ona załatana w aktualizacji 3.9.6, opublikowanej 6 marca tego roku. Producent twierdzi, że przez ten czas, żaden samochód nie padł ofiarą ataku, który wykorzystywałby opisywaną lukę.

Programy

Aktualizacje
Aktualizacje
Nowości
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (12)