Seu carro conectado pode estar sendo controlado sem que você saiba

Abrir portas, dar partida no motor e controlar outros dispositivos de um carro conectado e até mesmo obter as coordenadas de localização do veículo, assim como sua rota. Tudo isso pode ser feito por meio de um simples app. Mas até que ponto os fabricantes protegem esses aplicativos de possíveis ataques virtuais?

Para descobrir isso, os pesquisadores da Kaspersky Lab testaram sete aplicativos de controle remoto para carro desenvolvidos por grandes fabricantes e que, de acordo com estatísticas do Google Play, foram baixados dezenas de milhares de vezes e, em alguns casos, até 5 milhões de vezes. O teste mostrou que cada um dos aplicativos examinados continham diversos problemas de segurança.

Entre os problemas encontrados estão falta de defesa contra a engenharia reversa do aplicativo, ausência de verificação da integridade do código, falta de técnicas de detecção de desbloqueio do tipo rooting e armazenamento de logins e senhas em texto simples.

Em relação à falta de defesa contra a engenharia reversa do aplicativo, os pesquisadores da Kaspersky Lab dizem que os criminosos podem descobrir como o aplicativo funciona e encontrar vulnerabilidades que permitiriam o acesso à infraestrutura de servidor ou ao sistema multimídia do carro. Já a verificação da integridade do código é importante para evitar que criminosos incorporem seu próprio código ao aplicativo e substituam o programa original por outro.

O não uso de técnicas de detecção de desbloqueio do tipo rooting, que fornecem aos cavalos de Troia funcionalidades de administrador, deixa o aplicativo desprotegido, enquanto a falta de proteção contra técnicas de sobreposição de aplicativos. Isso ajuda os aplicativos maliciosos a mostrar janelas de phishing e roubar credenciais dos usuários.

Por fim, o armazenamento de logins e senhas em texto simples torna o app fraco e o criminoso pode roubar os dados dos usuários com relativa facilidade. Quando a exploração é bem-sucedida, o invasor consegue controlar o carro, destravar as portas, desativar o alarme e, teoricamente, roubar o veículo.

Dependendo do caso, o vetor de ataque exige ações adicionais, como enganar o proprietário do aplicativo para que ele instale aplicativos maliciosos especiais que tomariam o dispositivo e conseguiriam acessar o aplicativo do carro. Porém, os especialistas da Kaspersky Lab concluíram, pelas pesquisas com vários aplicativos maliciosos que visam credenciais de bancos online e outras informações importantes, que isso não deve ser um problema para criminosos com experiência em técnicas de engenharia social, caso decidam procurar os proprietários de carros conectados.

“Os fabricantes de carros devem percorrer o mesmo caminho que os bancos já trilharam com seus aplicativos. Inicialmente, os aplicativos de bancos não tinham todos os recursos de segurança listados em nossa pesquisa. Agora, depois de vários casos de ataques contra aplicativos bancários, eles melhoraram a segurança de seus produtos. Felizmente, ainda não detectamos casos de ataques contra aplicativos automotivos; ou seja, os fornecedores de carros ainda têm tempo de fazer o que é necessário. Não se sabe exatamente quanto tempo. Os cavalos de Troia modernos são muito flexíveis – em um dia, eles podem agir como um adware normal e, no dia seguinte, baixar facilmente uma nova configuração que possibilita o ataque a novos aplicativos. A superfície de ataque é realmente muito ampla”, diz Victor Chebyshev, especialista em segurança da Kaspersky Lab.

Os pesquisadores da Kaspersky Lab recomendam que os usuários de aplicativos de carros conectados adotem as seguintes medidas para proteger seus veículos e dados particulares de possíveis ataques virtuais:

• Não desbloqueie seu dispositivo Android por rooting, pois isso abre funcionalidades praticamente ilimitadas a aplicativos maliciosos;

• Desative a opção de instalar aplicativos de fontes que não sejam as lojas oficiais de aplicativos;

• Mantenha a versão do sistema operacional do dispositivo atualizada para reduzir as vulnerabilidades de software e o risco de ataques;

• Instale uma solução de segurança comprovada para proteger seu dispositivo de ataques virtuais.