NVD Vulnerability Detail

CVE-2019-9493

Summary	The MyCar Controls of AutoMobility Distribution Inc., mobile application contains hard-coded admin credentials. A remote unauthenticated attacker may be able to send commands to and retrieve data from a target MyCar unit. This may allow the attacker to learn the location of a target, or gain unauthorized physical access to a vehicle. This issue affects AutoMobility MyCar versions prior to 3.4.24 on iOS and versions prior to 4.1.2 on Android. This issue has additionally been fixed in Carlink, Link, Visions MyCar, and MyCar Kia.
Publication Date	Jan. 16, 2020, 2:15 a.m.
Registration Date	Jan. 26, 2021, 11:45 a.m.
Last Update	Nov. 21, 2024, 1:51 p.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:mycarcontrols:mycar_controls::::::android::*				4.1.2
cpe:2.3:a:mycarcontrols:mycar_controls::::::iphone_os::*				3.4.24

Related information, measures and tools

No	URL	タグ
1	https://itunes.apple.com/us/app/mycar-controls/id1126511815	Product
2	https://mycarcontrols.com/	Product
3	https://play.google.com/store/apps/details?id=app.com.automobility.mycar.control	Product
4	https://www.kb.cert.org/vuls/id/174715/	Third Party Advisory US Government Resource
5	https://www.securityfocus.com/bid/107827	Third Party Advisory VDB Entry
6	https://itunes.apple.com/us/app/mycar-controls/id1126511815	Product
7	https://www.securityfocus.com/bid/107827	Third Party Advisory VDB Entry
8	https://www.kb.cert.org/vuls/id/174715/	Third Party Advisory US Government Resource
9	https://play.google.com/store/apps/details?id=app.com.automobility.mycar.control	Product
10	https://mycarcontrols.com/	Product

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-798	ハードコードされた認証情報の使用	https://cwe.mitre.org/data/definitions/798.html

JVN Vulnerability Information

スマートフォンアプリ「MyCar Controls」において管理者の認証情報がハードコードされている問題

Title	スマートフォンアプリ「MyCar Controls」において管理者の認証情報がハードコードされている問題
Summary	AutoMobility Distribution Inc が提供するスマートフォンアプリ「MyCar Controls」には、ユーザがサーバエンドポイントへ通信する際に、ユーザ名とパスワードの代替として使用できる管理用の認証情報がハードコードされている問題 (CWE-798) が存在します。
Possible impacts	遠隔の認証されていない第三者によって、当該製品へコマンドを送信されたり、データを取得されたりする可能性があります。
Solution	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。なお、iOS アプリ「MyCar Controls」 v3.4.24 および Android アプリ「MyCar Controls」 v4.1.2 にて管理用の認証情報は削除されました。また、古いバージョンのアプリでハードコードされていた管理用の認証情報は現在無効化されているとのことです。
Publication Date	April 8, 2019, midnight
Registration Date	April 11, 2019, 3:22 p.m.
Last Update	April 11, 2019, 3:22 p.m.

Affected System

AutoMobility Distribution Inc

MyCar Controls Android アプリ v4.1.2 より前のバージョン

MyCar Controls iOS アプリ v3.4.24 より前のバージョン

MyCar Controls Android アプリ v4.1.2 より前のバージョン

MyCar Controls iOS アプリ v3.4.24 より前のバージョン

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2019-9493	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9493
2	CVE-2019-9493	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9493

ベンダー情報

No	Name	URL
AutoMobility Distribution Inc
1	My Car \| Start, control and locate your car from virtually anywhere	https://mycarcontrols.com/
2	My Car \| Start, control and locate your car from virtually anywhere	https://mycarcontrols.com/
3	MyCar Controls - App Store	https://itunes.apple.com/ca/app/mycar-controls/id1126511815
4	MyCar Controls - App Store	https://itunes.apple.com/ca/app/mycar-controls/id1126511815
5	MyCar Controls - Google Play の Android アプリ	https://play.google.com/store/apps/details?id=app.com.automobility.mycar.control
6	MyCar Controls - Google Play の Android アプリ	https://play.google.com/store/apps/details?id=app.com.automobility.mycar.control

その他

Change Log

No	Changed Details	Date of change
1	[2019年04月11日] 掲載	April 11, 2019, 3:22 p.m.