Mercedes-Benzovi mobilni aplikaciji ušli nekateri uporabniški podatki
Pri sodobnih avtomobilih ni nič čudnega, če ob nakupu dobimo tudi možnost upravljanja vozila z mobilno aplikacijo, ki običajno omogoča zaklepanje, odklepanje, prižiganje in ugašanje motorja ter lociranje vozila.
Tovrstne aplikacije pa hkrati predstavljajo tudi veliko varnostno tveganje, saj je različnim varnostnim preizkuševalcem že uspelo prebiti zaščito in se tako odpeljati z vozilom oziroma vozilu kar med vožnjo ugasniti motor, kar je tvegano tudi s stališča varnosti v prometu.
Mercedes-Benzovi aplikaciji MercedesMe, ki je po statistikah Googlove spletne trgovine Play bila prenešena okoli stotisočkrat, se na srečo ni zgodilo nič tako usodnega. Namesto tega je prišlo “le” do uhajanja uporabniških podatkov k drugim uporabnikom v bližini. Ko so uporabniki zagnali aplikacijo, so namesto svojega avtomobila v njej zagledali vozilo nekoga drugega skupaj z vsemi pripadajočimi podatki o vozilu (model, leto izdelave, prejšnje lokacije vozila, VIN številka ipd.) in uporabniku (naslov prebivališča, datum rojstva, telefonska številka) … Nerodno.
Vir: Mercedes-Benz
Realnočasovno sledenje vozilu ni delovalo, ravno tako ni bilo mogoče z njim upravljati na daljavo, kar so potrdili tudi predstavniki nemškega avtomobilskega giganta. V izjavi za javnost so poudarili, da je aplikacija prikazovala le shranjene podatke in ne trenutnih. Ko so uporabniki kontaktirali podjetje zaradi težave, so dobili odgovor, naj aplikacijo izbrišejo s telefona.
Že marca se je pojavila podobna težava na avtomobilskih alarmnih sistemih Pandora in Viper, ko je britansko podjetje za kibernetsko varnost Pen Test Partners odkrilo, da je zaradi pomanjkljivosti na strežniku mogoče enostavno ponastavljati uporabniška gesla in s tem pridobiti praktično popoln nadzor nad vozili in pregled nad uporabniškimi podatki.
Pomanjkljivosti je bilo izpostavljenih več kot tri milijone vozil po vsem svetu, med enim izmed testov pa je varnostnim raziskovalcem uspelo ugasniti motor premikajočemu se vozilu in mu odkleniti vrata. Med drugim testom so z vdorom v naključni uporabniški profil najprej uspešno locirali vozilo in ga nato s pomočjo aplikacije uspešno zagnali in mu odklenili vrata.
Kmalu za identifikacijo težave je bila aplikacija več ur neaktivna, Mercedes-Benz pa naj bi v tem času uspešno odpravil težavo. Vzrok težave še ni znan, ravno tako ni znan obseg uhajanja podatkov, težava pa je trajala le nekaj ur na dan 18. oktobra.
Uvodna fotografija: Mercedes-Benz
