Blue Link

Продукт
Разработчики: Hyundai Motor Company and Kia Motors Corporation
Дата последнего релиза: май 2017 г
Отрасли: Транспорт

2017: Уявзимость

В мае 2017 года компания Hyundai выпустила исправление для своего мобильного приложения, ошибка в котором позволяла злоумышленникам угонять машины.

Приложение Blue Link позволяет управлять некоторыми ключевыми функциями автомобиля с мобильного устройства — смартфона или «умных» часов. В версиях приложения 3.9.4 и 3.9.5 обнаружилась «катастрофическая» уязвимость, позволявшая перехватывать контроль над приложением. При наихудшем сценарии злоумышленники могли снимать блокировку с дверей, запускать двигатель автомобиля и совершать угон.

Работая приложения Blue Link на часах Apple Watch

Брешь обнаружили эксперты компании Rapid7 Уилл Хэтцер (Will Hatzer) и Арджен Кумар (Arjun Kumar). Как им удалось выяснить, уязвимые версии приложения несколько раз в день выгружают логи работы приложения на удаленный сервер. Загрузка осуществляется через HTTP (то есть, небезопасное соединение), но все данные шифруются на смартфоне. Проблема в том, что ключ шифрования — один и тот же для всех пользователей Blue Link (1986l12Ov09e), его невозможно изменить и к тому же он зашит в исходный код приложения.

С помощью этого пароля злоумышленник может расшифровать логи приложения, загружаемые на серверы Hyundai, и извлечь оттуда множество полезной информации, в том числе имя пользователя, пароль, PIN и данные GPS.[1]

Используя имя пользователя и пароль, злоумышленник может войти в личный аккаунт автовладельца, поменять PIN на собственный, тем самым привязав автомобиль к своему собственному приложению и затем угнать машину.

Впрочем, есть одно «но»: для успешного перехвата данных, идущих с мобильного приложения на сервер, злоумышленник должен находиться в одной беспроводной сети с будущей жертвой. Это можно устроить с помощью подконтрольной злоумышленнику точки доступа в WiFi-сеть. Blue Link позволяет снимать блокировку с дверей только у машин Hyundai, выпущенных после 2012 года.[2]

Hyundai уже выпустила новую версию приложения (3.9.6). Всем пользователям Blue Link настоятельно рекомендуется установить ее как можно скорее.

«
Фиксированный ключ шифрования в исходном коде — это одна из тех «детских» ошибок, которые ответственные программисты себе не позволят, — считает Ксения Шилак, директор по продажам компании SEC-Consult Рус. — К сожалению, наличие такой ошибки показывает, что автопроизводитель по-прежнему рассматривает мобильные приложения как нечто глубоко второстепенное, хотя недостатки этих программ ставят под прямую угрозу «основной продукт».
»

Примечания