Устранена уязвимость в приложении Blue Link для владельцев автомобилей Hyundai

Компания Hyundai выпустила новую версию своего мобильного приложения Blue Link – 3.9.6 – для мобильных устройств под управлением операционных систем iOS и Android. Всем владельцам автомобилей Hyundai рекомендовано незамедлительно обновить свои приложения до последней версии, поскольку предыдущие (Blue Link 3.9.4 и 3.9.5) содержат опасную уязвимость. Эта уязвимость была выявлена специалистами компании Rapid7 Уильямом Хэтцером и Арджуном Кумаром, которые уведомили автопроизводителя о неприятной находке в феврале и согласились не разглашать подробности проблемы публично, пока она не будет устранена.

В Blue Link 3.9.4 и 3.9.5 информация на серверы Hyundai передавалась с устройств пользователей через незащищенное HTTP-соединение. При этом сама информация отправлялась в зашифрованном виде, однако каждое сообщение содержало и включенный в код предустановленный ключ шифрования. Таким образом, злоумышленникам не составляло труда, осуществив атаку по типу man-in-the-middle, получить доступ к конфиденциальным данным, включая имена и пароли пользователей и их геопозицию. Эта информация, в свою очередь, позволяла скомпрометировать приложение, используемое, в том числе, для открывания и закрывания центрального замка автомобиля и дистанционного запуска двигателя.

По сообщению компании Hyundai, за период с декабря прошлого по март нынешнего года (на протяжении этого времени и существовала уязвимость в Blue Link) никаких инцидентов, связанных с эксплуатацией уязвимости, зафиксировано не было. Эксперты, однако, обращают внимание на то, что автопроизводители, стремясь оснастить свои машины самыми современными информационными технологиями, по-прежнему допускают серьезные ошибки, связанные с кибербезопасностью.