O nível de segurança de 13 aplicações de car sharing de fabricantes internacionais – incluindo empresas russas, norte-americanas e europeias – foi examinado Investigadores da Kaspersky Lab.
Os especialistas descobriram que todas as aplicações incluem várias falhas que possibilitam aos hackers ganhar controlo dos veículos partilhados, quer através de um ataque furtivo ou com o perfil de um outro utilizador
Assim que obtem acesso ao automóvel através da aplicação, um hacker pode fazer quase tudo – até roubar o próprio veículo ou as informações nele contidas, causando danos severos.
Leia o o comunicado de imprensa na íntegra:
Falta de segurança torna aplicações de car sharing vulneráveis a ataques
As aplicações são desenvolvidas para facilitar a vida dos utilizadores e tornar as transações mais convenientes. Este conceito transformou-se e evoluiu com o aparecimento das aplicações de partilha (“sharing”), que tornam diferentes serviços – deste entrega de refeições a táxis e partilha de carro – mais baratos e eficientes. Mas, enquanto as aplicações de car sharing são inestimáveis para aqueles com baixos rendimentos, já que eliminam a necessidade de pagar por um veículo e pela sua manutenção, são ao mesmo tempo um fator de risco para os seus utilizadores e fabricantes.
Para compreender a extensão do problema, investigadores da Kaspersky Lab testaram 13 aplicações de car sharing, desenvolvidas por grandes fabricantes de diferentes mercados e que, de acordo com as estatísticas do Google Play, foram transferidas mais de um milhão de vezes. A investigação descobriu que cada uma das aplicações examinadas continha vários riscos de segurança. Além disso, foram também detetados utilizadores maliciosos que já monetizam várias contas roubadas de aplicações de car sharing.
Este é um risco especialmente preocupante uma vez que uma investigação recente da Kaspersky Lab sobre atitudes dos consumidores quanto à segurança das aplicações revelou que os europeus não consideram as aplicações de partilha como uma ameaça, especialmente em comparação com outras aplicações como redes sociais, aplicações de mensagens ou bancárias. Menos de 10% dos inquiridos considerou as aplicações de partilha como inseguras.
A lista de vulnerabilidades, das aplicações de car sharing, descobertas inclui:
- A falta de defesa contra ataques man-in-the-middle. Ainda que o utilizador esteja ligado a um website legítimo, o tráfego está a ser redirecionado através de um site do hacker, permitindo-lhe recolher os dados pessoais que a vítima tenha inserido na aplicação (login, palavra-passe, PIN, etc.)
- A inexistência de defesas contra aplicações de desencriptação (reverse engineering). Com estes ataques, um hacker consegue perceber como está estruturada a aplicação e detetar uma vulnerabilidade que lhe garantirá acesso à infraestrutura do servidor
- A falta de técnicas de deteção de rooting. Permissões de acesso à root proporcionam aos hackers capacidades quase infinitas e deixam a aplicação sem possibilidade de defesa
- A falta de proteção contra ataques de sobreposição de aplicações. Estes permitem que aplicações maliciosas apresentem janelas de phishing e roubem as credenciais dos utilizadores
- Além disso, menos de metade das aplicações obrigam à criação de palavras-passe fortes por parte dos utilizadores, o que significa que os hackers podem simplesmente atacar as vítimas através de um cenário de força bruta
Após a exploração bem-sucedida destas vulnerabilidades, um hacker pode, discretamente, obter o controlo do automóvel e utilizá-lo para os seus objetivos maliciosos – desde simples viagens gratuitas ou espiar o utilizador, até cenários mais graves como o roubo de informações – do veículo em si ou de diferentes utilizadores – para venda no mercado negro. O roubo de identidade e do veículo também permite aos hackers conduzir de forma ilegal e perigosa sob a identidade de outro utilizador.
A investigação da Kaspersky Lab concluiu que, atualmente, as aplicações de serviços de car sharing não estão preparadas para aguentar ataques de malware. E, apesar de ainda não ter sido detetado nenhum ataque sofisticado contra estes serviços, os hackers estão cientes do valor inerente a estas aplicações, e as ofertas existentes no mercado negro revelam que os fornecedores não têm muito tempo para remover as vulnerabilidades.
Investigadores da Kaspersky Lab aconselham os utilizadores destes serviços a seguir algumas medidas simples de forma a protegerem a sua informação pessoal, bem como os automóveis, contra possíveis ciberataques:
- Não garantir permissões root ao dispositivo Android, uma vez que estas abrem as portas a uma quantidade quase ilimitada de aplicações maliciosas
- Atualizar o sistema operativo para reduzir as vulnerabilidades no software e diminuir os riscos de um ataque
- Instalar uma solução se segurança de forma a proteger o dispositivo de ciberataques.
Mais informações sobre as ameaças das aplicações de сar sharing disponíveis em Securelist.com.
*Este artigo foi escrito utilizando o smartphone Samsung Galaxy Note8
