5 problemas de segurança em veículos conectados

Nos últimos anos, os carros começaram a ser ativamente conectados à web. Além de sistemas de entretenimento informativo, a conectividade também inclui sistemas básicos do veículo, como as travas das portas e a ignição, que agora podem ser acessadas on-line. Por um lado, essas funções são extremamente úteis. Por outro lado, como os fabricantes protegem esses aplicativos de possíveis ataques virtuais?

Para descobrir isso, os pesquisadores da Kaspersky Lab testaram sete aplicativos de controle remoto para carro desenvolvidos por grandes fabricantes e que, de acordo com estatísticas do Google Play, foram baixados dezenas de milhares de vezes e, em alguns casos, até cinco milhões de vezes. O teste mostrou que cada um dos aplicativos examinados continham diversos problemas de segurança, listados abaixo:

1. Falta de defesa contra a engenharia reversa do aplicativo. Como resultado, criminosos podem descobrir como o aplicativo funciona e encontrar vulnerabilidades que permitiriam o acesso à infraestrutura de servidor ou ao sistema multimídia do carro.
2. Ausência de verificação da integridade do código, que seria importante para evitar que criminosos incorporem seu próprio código ao aplicativo e substituam o programa original por outro.
3. Não uso de técnicas de detecção de desbloqueio do tipo rooting, que fornecem aos cavalos de Troia funcionalidades de administrador, praticamente infinitas, além de deixar o aplicativo desprotegido.
4. Falta de proteção contra técnicas de sobreposição de aplicativos. Isso ajuda os aplicativos maliciosos a mostrar janelas de phishing e roubar credenciais dos usuários.
5. Armazenamento de logins e senhas em texto simples. Usando esse ponto fraco, o criminoso pode roubar os dados dos usuários com relativa facilidade

Quando a exploração é bem-sucedida, o invasor consegue controlar o carro, destravar as portas, desativar o alarme e, teoricamente, roubar o veículo.

Dependendo do caso, o vetor de ataque exige ações adicionais, como enganar o proprietário do aplicativo para que ele instale aplicativos maliciosos especiais que tomariam o dispositivo e conseguiriam acessar o aplicativo do carro.
Porém, os especialistas da Kaspersky Lab concluíram, pelas pesquisas com vários aplicativos maliciosos que visam credenciais de bancos online e outras informações importantes, que isso não deve ser um problema para criminosos com experiência em técnicas de engenharia social, caso decidam procurar os proprietários de carros conectados.

“A principal conclusão de nossa pesquisa é que, em seu estado atual, os aplicativos de carros conectados não estão prontos para resistir a ataques de malware. Pensando na segurança do veículo, não basta considerar apenas a segurança da infraestrutura do servidor”, alerta Victor Chebyshev, especialista em segurança da Kaspersky Lab.

Os pesquisadores da Kaspersky Lab recomendam que usuários de aplicativos de carros conectados adotem as seguintes medidas para proteger seus veículos e dados particulares de possíveis ataques virtuais:

• Não desbloqueie seu dispositivo Android por rooting, pois isso abre funcionalidades praticamente ilimitadas a aplicativos maliciosos;
• Desative a opção de instalar aplicativos de fontes que não sejam as lojas oficiais de aplicativos;
• Mantenha a versão do sistema operacional do dispositivo atualizada para reduzir as vulnerabilidades de software e o risco de ataques;
• Instale uma solução de segurança comprovada para proteger seu dispositivo de ataques virtuais.