Vācijas auto koncerna BMW izstrādātajā aplikācijā «iRemote», kas lietotājam ļauj savu mašīnu atslēgt, kā arī noteikt tās atrašanās vietu, atrastas samērā nopietnas drošības nepilnības, vēsta informācijas tehnoloģiju portāls «The Register».
BMW viedtālruņa aplikācijā fiksē nopietnas ievainojamības (6)
Lūdzu, ņemiet vērā, ka raksts ir vairāk nekā piecus gadus vecs un ir pārvietots uz mūsu arhīvu. Mēs neatjauninām arhīvu saturu, tāpēc var būt nepieciešams meklēt jaunākus avotus.
Kiberdrošības kompānijas «Pen Test Partners» pētnieks Kens Manro atklājis vairākas ievainojamības BMW «iRemote» aplikācijā, kas ļaundariem ļauj samērā vienkāršā veidā auto nobloķēt, bet, papūloties vairāk, arī noteikt tā atrašanās vietu un pat atslēgt. Portāls «The Register» jau informējis Bavārijas uzņēmumu, tomēr BMW atrunājušies, ka viņu produktā nepilnību nav. Tai pat laikā Manro atklājumu apstiprinājis vēl kāds drošības eksperts, kurš to izmēģinājis uz sava paziņas auto.
Nepilnību pamatā ir «iRemote» īpatnība, kas ļauj uzzināt, vai pareizi uzminēts lietotājvārds. Manro norāda, ka lietotāja vārdu iespējams noteikt, izmantojot sociālo inženieriju - nereti jaunā auto īpašnieki par savu guvumu izlielās sociālajos tīklos. Ja lietotājvārdu izdodas uzminēt, pamatīgas nepatikšanas iespējams sagādāt, ja aplikācija vairāk nekā piecas reizes nepareizi ievada paroli, kas auto nobloķē, kamēr lietotāja konts nav saņēmis jaunu paroli.
Ja iegūts lietotāja vārds, tad atjautīgs hakeris būs spējīgs caur sociālajiem tīkliem iegūt arī cilvēka e-pasta adresi un pēc tam salīdzināt to ar populārākajām lietotāju datu noplūšanas datu bāzēm. Jaunu paroli lietotājs var iegūt, tikai piezvanot uz BMW apkalpošanas centru, tomēr šī jaunā parole sastāv no pieciem mazajiem burtiem, kas vairumam paroļu uzlaušanas programmu ir triviāls uzdevums.
Vēl bīstamākas ievainojamības pirms kāda laika tika atklātas elektroauto ražotāja «Tesla» aplikācijā. Manro norāda, ka BMW labi piestrādājuši pie aplikācijas tehniskās puses, tomēr nav ņēmuši vērā sociālās inženierijas uzbrukuma risku.