Kaspersky Lab aponta falhas de segurança em apps de veículos conectados

Segurança

A Kaspersky Lab decidiu testar 7 aplicativos de controle remoto para carros conectados à internet tendo em consideração que essa é uma área que está evoluindo com muita rapidez e que vai, naturalmente, começar a ser cada vez mais explorada pelos cibercriminosos. A verdade é que há cada vez mais apps que auxiliam as intervenções e as atividades que fazemos nos carros, desde abertura de portas, entretenimento até à condução.

A empresa de cibersegurança encontrou várias vulnerabilidades nos aplicativos testados pertencentes a grandes montadoras, que foram já descarregados milhares de vezes pelos usuários. Essas falhas podem originar ataques em que o criminoso consegue obter controle do carro e chegar mesmo a roubá-lo.

Eis alguns dos problemas de segurança encontrados:

  • Falta de defesa contra a engenharia reversa do aplicativo. Como resultado, criminosos podem descobrir como o aplicativo funciona e encontrar vulnerabilidades que permitiriam o acesso à infraestrutura de servidor ou ao sistema multimídia do carro;
  • Ausência de verificação da integridade do código, que seria importante para evitar que criminosos incorporem seu próprio código ao aplicativo e substituam o programa original por outro;
  • Não uso de técnicas de detecção de desbloqueio do tipo rooting, que fornecem aos cavalos de Troia funcionalidades de administrador, praticamente infinitas, além de deixar o aplicativo desprotegido;
  • Falta de proteção contra técnicas de sobreposição de aplicativos. Isso ajuda os aplicativos maliciosos a mostrar janelas de phishing e roubar credenciais dos usuários;
  • Armazenamento de logins e senhas em texto simples. Usando esse ponto fraco, o criminoso pode roubar os dados dos usuários com relativa facilidade

“A principal conclusão de nossa pesquisa é que, em seu estado atual, os aplicativos de carros conectados não estão prontos para resistir a ataques de malware. Pensando na segurança do veículo, não basta considerar apenas a segurança da infraestrutura do servidor. Os fabricantes de carros devem percorrer o mesmo caminho que os bancos já trilharam com seus aplicativos. Inicialmente, os aplicativos de bancos não tinham todos os recursos de segurança listados em nossa pesquisa. Agora, depois de vários casos de ataques contra aplicativos bancários, eles melhoraram a segurança de seus produtos. Felizmente, ainda não detectamos casos de ataques contra aplicativos automotivos; ou seja, os fornecedores de carros ainda têm tempo de fazer o que é necessário. Não se sabe exatamente quanto tempo. Os cavalos de Troia modernos são muito flexíveis – em um dia, eles podem agir como um adware normal e, no dia seguinte, baixar facilmente uma nova configuração que possibilita o ataque a novos aplicativos. A superfície de ataque é realmente muito ampla”, disse Victor Chebyshev, especialista em segurança da Kaspersky Lab.

A empresa recomenda algumas medidas de proteção com vista a aumentar a segurança de usuários e veículos:

  • Não desbloqueie seu dispositivo Android por rooting, pois isso abre funcionalidades praticamente ilimitadas a aplicativos maliciosos;
  • Desative a opção de instalar aplicativos de fontes que não sejam as lojas oficiais de aplicativos;
  • Mantenha a versão do sistema operacional do dispositivo atualizada para reduzir as vulnerabilidades de software e o risco de ataques;
  • Instale uma solução de segurança comprovada para proteger seu dispositivo de ataques virtuais.

 


Clique para ler a bio do autor  Clique para fechar a bio do autor