Nos últimos anos, os carros começaram a ser ativamente conectados à Internet.
Além de sistemas de entretenimento informativo, a conectividade também inclui sistemas básicos do veículo, como as travas das portas e a ignição, que agora podem ser acessadas online.
Com ajuda de apps, já é possível obter as coordenadas de localização do veículo, assim como sua rota, bem como abrir portas, dar partida no motor e controlar outros dispositivos do carro.
Por um lado, essas funções são extremamente úteis. Por outro lado, como os fabricantes protegem esses aplicativos de possíveis ataques virtuais?
Para descobrir isso, os pesquisadores da Kaspersky Lab testaram sete aplicativos de controle remoto para carro desenvolvidos por grandes fabricantes e que, de acordo com estatísticas do Google Play, foram baixados dezenas de milhares de vezes e, em alguns casos, até cinco milhões de vezes.
O teste mostrou que cada um dos aplicativos examinados continham diversos problemas de segurança.
Os problemas de segurança incluem:
• Falta de defesa contra a engenharia reversa do aplicativo. Como resultado, criminosos podem descobrir como o aplicativo funciona e encontrar vulnerabilidades que permitiriam o acesso à infraestrutura de servidor ou ao sistema multimídia do carro;
• Ausência de verificação da integridade do código, que seria importante para evitar que criminosos incorporem seu próprio código ao aplicativo e substituam o programa original por outro;
• Não uso de técnicas de detecção de desbloqueio do tipo rooting, que fornecem aos cavalos de Troia funcionalidades de administrador, praticamente infinitas, além de deixar o aplicativo desprotegido;
• Falta de proteção contra técnicas de sobreposição de aplicativos. Isso ajuda os aplicativos maliciosos a mostrar janelas de phishing e roubar credenciais dos usuários;
• Armazenamento de logins e senhas em texto simples. Usando esse ponto fraco, o criminoso pode roubar os dados dos usuários com relativa facilidade
Quando a exploração é bem-sucedida, o invasor consegue controlar o carro, destravar as portas, desativar o alarme e, teoricamente, roubar o veículo.
Dependendo do caso, o vetor de ataque exige ações adicionais, como enganar o proprietário do aplicativo para que ele instale aplicativos maliciosos especiais que tomariam o dispositivo e conseguiriam acessar o aplicativo do carro.
Porém, os especialistas da Kaspersky Lab concluíram, pelas pesquisas com vários aplicativos maliciosos que visam credenciais de bancos online e outras informações importantes, que isso não deve ser um problema para criminosos com experiência em técnicas de engenharia social, caso decidam procurar os proprietários de carros conectados.
“A principal conclusão de nossa pesquisa é que, em seu estado atual, os aplicativos de carros conectados não estão prontos para resistir a ataques de malware. Pensando na segurança do veículo, não basta considerar apenas a segurança da infraestrutura do servidor. Os fabricantes de carros devem percorrer o mesmo caminho que os bancos já trilharam com seus aplicativos. Inicialmente, os aplicativos de bancos não tinham todos os recursos de segurança listados em nossa pesquisa. Agora, depois de vários casos de ataques contra aplicativos bancários, eles melhoraram a segurança de seus produtos. Felizmente, ainda não detectamos casos de ataques contra aplicativos automotivos; ou seja, os fornecedores de carros ainda têm tempo de fazer o que é necessário. Não se sabe exatamente quanto tempo. Os cavalos de Troia modernos são muito flexíveis – em um dia, eles podem agir como um adware normal e, no dia seguinte, baixar facilmente uma nova configuração que possibilita o ataque a novos aplicativos. A superfície de ataque é realmente muito ampla”, diz Victor Chebyshev, especialista em segurança da Kaspersky Lab.
Os pesquisadores da Kaspersky Lab recomendam que os usuários de aplicativos de carros conectados adotem as seguintes medidas para proteger seus veículos e dados particulares de possíveis ataques virtuais:
• Não desbloqueie seu dispositivo Android por rooting, pois isso abre funcionalidades praticamente ilimitadas a aplicativos maliciosos;
• Desative a opção de instalar aplicativos de fontes que não sejam as lojas oficiais de aplicativos;
• Mantenha a versão do sistema operacional do dispositivo atualizada para reduzir as vulnerabilidades de software e o risco de ataques;
• Instale uma solução de segurança comprovada para proteger seu dispositivo de ataques virtuais.
Para saber mais sobre as ameaças a carros conectados, leia o post disponível em Securelist.com.