NVD脆弱性詳細

CVE-2019-9493

概要	The MyCar Controls of AutoMobility Distribution Inc., mobile application contains hard-coded admin credentials. A remote unauthenticated attacker may be able to send commands to and retrieve data from a target MyCar unit. This may allow the attacker to learn the location of a target, or gain unauthorized physical access to a vehicle. This issue affects AutoMobility MyCar versions prior to 3.4.24 on iOS and versions prior to 4.1.2 on Android. This issue has additionally been fixed in Carlink, Link, Visions MyCar, and MyCar Kia.
公表日	2020年1月16日2:15
登録日	2021年1月26日11:45
最終更新日	2024年11月21日13:51

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:mycarcontrols:mycar_controls::::::android::*				4.1.2
cpe:2.3:a:mycarcontrols:mycar_controls::::::iphone_os::*				3.4.24

関連情報、対策とツール

No	URL	タグ
1	https://itunes.apple.com/us/app/mycar-controls/id1126511815	Product
2	https://mycarcontrols.com/	Product
3	https://play.google.com/store/apps/details?id=app.com.automobility.mycar.control	Product
4	https://www.kb.cert.org/vuls/id/174715/	Third Party Advisory US Government Resource
5	https://www.securityfocus.com/bid/107827	Third Party Advisory VDB Entry
6	https://itunes.apple.com/us/app/mycar-controls/id1126511815	Product
7	https://www.securityfocus.com/bid/107827	Third Party Advisory VDB Entry
8	https://www.kb.cert.org/vuls/id/174715/	Third Party Advisory US Government Resource
9	https://play.google.com/store/apps/details?id=app.com.automobility.mycar.control	Product
10	https://mycarcontrols.com/	Product

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-798	ハードコードされた認証情報の使用	https://cwe.mitre.org/data/definitions/798.html

JVN脆弱性情報

スマートフォンアプリ「MyCar Controls」において管理者の認証情報がハードコードされている問題

タイトル	スマートフォンアプリ「MyCar Controls」において管理者の認証情報がハードコードされている問題
概要	AutoMobility Distribution Inc が提供するスマートフォンアプリ「MyCar Controls」には、ユーザがサーバエンドポイントへ通信する際に、ユーザ名とパスワードの代替として使用できる管理用の認証情報がハードコードされている問題 (CWE-798) が存在します。
想定される影響	遠隔の認証されていない第三者によって、当該製品へコマンドを送信されたり、データを取得されたりする可能性があります。
対策	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。なお、iOS アプリ「MyCar Controls」 v3.4.24 および Android アプリ「MyCar Controls」 v4.1.2 にて管理用の認証情報は削除されました。また、古いバージョンのアプリでハードコードされていた管理用の認証情報は現在無効化されているとのことです。
公表日	2019年4月8日0:00
登録日	2019年4月11日15:22
最終更新日	2019年4月11日15:22

影響を受けるシステム

AutoMobility Distribution Inc

MyCar Controls Android アプリ v4.1.2 より前のバージョン

MyCar Controls iOS アプリ v3.4.24 より前のバージョン

MyCar Controls Android アプリ v4.1.2 より前のバージョン

MyCar Controls iOS アプリ v3.4.24 より前のバージョン

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2019-9493	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9493
2	CVE-2019-9493	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9493

ベンダー情報

No	名前	URL
AutoMobility Distribution Inc
1	My Car \| Start, control and locate your car from virtually anywhere	https://mycarcontrols.com/
2	My Car \| Start, control and locate your car from virtually anywhere	https://mycarcontrols.com/
3	MyCar Controls - App Store	https://itunes.apple.com/ca/app/mycar-controls/id1126511815
4	MyCar Controls - App Store	https://itunes.apple.com/ca/app/mycar-controls/id1126511815
5	MyCar Controls - Google Play の Android アプリ	https://play.google.com/store/apps/details?id=app.com.automobility.mycar.control
6	MyCar Controls - Google Play の Android アプリ	https://play.google.com/store/apps/details?id=app.com.automobility.mycar.control

その他

変更履歴

No	変更内容	変更日
1	[2019年04月11日] 掲載	2019年4月11日15:22