Специалисты компании Rapid7 рассказали, что им удалось обнаружить серьезную проблему в приложении Blue Link, которое компания Hyundai разрабатывает для своих авто с 2012 года. Исследователи пишут, что приложение, доступное в вариантах для iOS и Android, «сливало» персональную информацию о пользователях и их автомобилях (имена пользователей, пароли, PIN-коды, GPS-координаты). Судя по всему, таким образом компания Hyundai собирала телеметрию.
Проблема заключалась в том, что Hyundai Blue Link версий 3.9.4 и 3.9.5 передавало все персональные данные посредством простого HTTP и порта 8080 (54.64.135.113:8080). И хотя шифрование все же присутствовало, Blue Link использовало симметричный ключ 1986l12Ov09e, который без особенного труда можно было извлечь из кода самого приложения. Ключ был одинаков всегда и для всех пользователей, и пользователи не имели возможности его изменить.
Таким образом, атакующему нужно было лишь осуществить атаку man-in-the-middle и перехватить передаваемые приложением данные. Зная ключ, расшифровать пользовательскую информацию не составляло никакого труда. Исследователи отмечают, что перехватив данные Blue Link, злоумышленники могли не только найти машину жертвы, используя GPS, но также разблокировать ее и завести двигатель. Фактически, уязвимости в Blue Link были настоящим подарком для автоугонщиков.
Компания Hyundai выпустила исправленную версию приложения (3.9.6) для iOS и Android еще в начале марта 2017 года, стараясь не привлекать к обновлению большого внимания. В новой версии передача данных на 54.64.135.113:8080 отключена. Специалисты Rapid7 пишут, что специально выждали почти два месяца, давая пользователям возможность спокойно установить обновление.