Сбои приложения Mercedes-Benz раскрыли информацию владельцев автомобилей другим пользователям
Владельцы автомобилей Mercedes-Benz заявили, что приложение, которое они использовали для удаленного поиска, разблокировки и запуска своих автомобилей, отображало информацию об аккаунте других людях и их автомобилях.
TechCrunch поговорил с двумя клиентами, которые сказали, что подключенное автомобильное приложение Mercedes-Benz собирало информацию из других учетных записей, а не из их собственных, что позволяло им видеть имена других владельцев автомобилей, их последние действия, номера телефонов и многое другое.
Очевидная ошибка безопасности произошла поздно вечером в пятницу, прежде чем приложение отключилось «из-за обслуживания сайта» несколькими часами позже. Об этом сообщает Информатор Tech, ссылаясь на TC.
В наши дни современные автомобили нередко сопровождаются приложением для телефона. Эти приложения подключаются к вашему автомобилю и позволяют удаленно находить их, блокировать или разблокировать, а также запускать или выключать двигатель. Но поскольку автомобили становятся подключенными к Интернету и подключаются к приложениям, недостатки безопасности позволили исследователям удаленно угонять или отслеживать транспортные средства.
Один владелец автомобиля из Сиэтла сообщил, что их приложение получило информацию из нескольких других аккаунтов. Он сказал, что и у него, и у его друга, которые оба являются владельцами Mercedes, один и тот же автомобиль принадлежал другому клиенту в их соответствующих приложениях, но все остальные детали аккаунта отличались.
Владельцы автомобилей, с которыми говорили репортеры TC, сказали, что они смогли увидеть последние действия автомобиля, включая места, где он недавно был, но они не смогли отследить местоположение в режиме реального времени с помощью функции приложения.
Когда он связался с Mercedes-Benz, представитель службы поддержки сказал ему «удалить приложение» до тех пор, пока оно не будет исправлено.
Клиенты также сообщают, что функции «блокировка и разблокировка» и «запуск и остановки двигателя» не работают в их приложениях, что несколько ограничивает влияние ошибки безопасности. Другой клиент сказал, что он не пытался проверить ни одну из функций.
Не ясно, как произошла ошибка безопасности или насколько широко была проблема.
«Отображаемая информация представляла собой кешированную информацию, а не доступ к учетной записи в режиме реального времени, финансовая информация была недоступна для просмотра, а также не было возможности взаимодействовать или определять местоположение в реальном времени транспортного средства, связанного с учетной записью», - сказал представитель. «Когда мы узнали о проблеме, мы сняли систему, идентифицировали проблему и решили ее», - добавила она.
Согласно рейтингу Google Play, приложение установили более 100 000 клиентов.
Узнать еще больше актуальных новостей из мира технологий и игр, а также обсудить их можно в нашем Telegram-канале, и на страничках в Facebook и Instagram.