Aplikacja Hyundaia ułatwiała życie złodziejom bardziej niż kierowcom

Niedawno opisywaliśmy aplikacje Audi oraz BMW, które dają zdalny dostęp do aut tych marek. Obaj producenci twierdzą, że dbają o bezpieczeństwo, zapewniając wysoką odporność na potencjalne ataki. Mamy nadzieję, że faktycznie tak jest i nie dochodzi do sytuacji jak u Hyundaia. Aplikacja koreańskiego producenta, której zabezpieczenia pozostawiały wiele do życzenia, była najlepszym prezentem dla złodziei, znacząco ułatwiającym im pracę.

Błędy w aplikacji Hyundaia pozwalały złodziejom na łatwiejszą kradzież auta. Zdalny dostęp do samochodu pozwalał im na jego lokalizację, otworzenie, a później pozostawało tylko uruchomienie silnika. Powód? Użycie do zabezpieczenia danych tego samego, stałego klucza szyfrującego. Co jeszcze gorsze, jego wydobycie z aplikacji nie było niczym trudnym.

Hyundai przy jednej z ostatnich aktualizacji swoich aplikacji, zdecydował się na zebranie prywatnych informacji o użytkownikach. Wersje aplikacji MyHyundai with Blue Link na Androida i iOS-a, które oznaczone były numerami 3.9.4 i 3.9.5, przysyłały prywatne dane na serwery Hyundaia. Niestety dla użytkowników, proces odbywał się z wyjątkowo tragicznymi zabezpieczeniami.

Aplikacje Hyundaia korzystały ze starego protokołu HTTP, a do zaszyfrowania informacji użyto stałego klucza „1986l12Ov09e”. Ten klucz można było łatwo wydobyć z kodu aplikacji. Każdy napastnik, który podsłuchiwał połączenia pomiędzy aplikacją, a serwerami Hyundaia, mógł pobrać przesyłane dane i je odszyfrować. Zdobyte dane mogły mu pozwolić na zdalny dostęp do samochodu, mógł sprawdzić jego dokładną lokalizację i zdalnie go otworzyć. Auta Hyundaia stawały się łatwy łupem dla złodziei, wręcz w ogóle niezabezpieczonym.

Po dostrzeżeniu podatności Hyundai po cichu wydał aktualizację oprogramowania. Aplikacje w wersji 3.9.6, które od początku marca są już w Google Play i AppStore, mają być pozbawione wcześniejszej podatności. Eksperci, którzy odkryli lukę, dopiero niedawno ją upublicznili. Chcieli dać użytkownikom odpowiednio wiele czasu na zaktualizowanie aplikacji, a skoro proces najczęściej odbywa się automatycznie, to większość powinna posiadać najnowszą wersję.

Podatność miała pojawić się w wersji 3.9.4, wydanej 8 grudnia 2016 roku. Została ona załatana w aktualizacji 3.9.6, opublikowanej 6 marca tego roku. Producent twierdzi, że przez ten czas, żaden samochód nie padł ofiarą ataku, który wykorzystywałby opisywaną lukę.