公開日:2019/04/09 最終更新日:2019/04/09

JVNVU#96036964
スマートフォンアプリ「MyCar Controls」において管理者の認証情報がハードコードされている問題

概要

スマートフォンアプリ「MyCar Controls」には、管理者の認証情報がハードコードされている問題が存在します。

影響を受けるシステム

  • iOS アプリ「MyCar Controls」 v3.4.24 より前のバージョン
  • Android アプリ「MyCar Controls」 v4.1.2 より前のバージョン

詳細情報

AutoMobility Distribution Inc が提供するスマートフォンアプリ「MyCar Controls」には、ユーザがサーバエンドポイントへ通信する際に、ユーザ名とパスワードの代替として使用できる管理用の認証情報がハードコードされている問題 (CWE-798) が存在します。

想定される影響

遠隔の認証されていない第三者によって、当該製品へコマンドを送信されたり、データを取得されたりする可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
なお、iOS アプリ「MyCar Controls」 v3.4.24 および Android アプリ「MyCar Controls」 v4.1.2 にて管理用の認証情報は削除されました。また、古いバージョンのアプリでハードコードされていた管理用の認証情報は現在無効化されているとのことです。

参考情報

  1. CERT/CC Vulnerability Note VU#174715
    MyCar Controls uses hard-coded credentials

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
基本値: 9.8
CVSS v2 AV:N/AC:L/Au:N/C:P/I:P/A:P
基本値: 7.5

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2019-9493
JVN iPedia