Kaspersky Lab aponta falhas de segurança em apps de veículos conectados

Mafalda Freire,

A Kaspersky Lab decidiu testar 7 aplicações de controlo remoto para carros conectados à internet tendo em consideração que esta é uma área que está a evoluir com muita rapidez e que vai, naturalmente, começar a ser cada vez mais explorada pelos cibercriminosos. A verdade é que há cada vez mais apps que auxiliam as intervenções e as atividades que fazemos nos carros, desde abertura de portas, passando pelo entretenimento até à condução.

A empresa de cibersegurança encontrou várias vulnerabilidades nas aplicações testadas, pertencentes a grandes fabricantes, que já foram descarregadas milhares de vezes pelos utilizadores. Essas falhas podem originar ataques em que o criminoso consegue obter controlo do carro e chegar mesmo a roubá-lo.

Eis alguns dos problemas de segurança encontrados:

  • Falta de defesa contra engenharia reversiva da aplicação. Como resultado, os criminosos podem descobrir como é que a app funciona e encontrar vulnerabilidades que permitam o acesso à infraestrutura de servidor ou ao sistema multimédia do carro;
  • Ausência de verificação da integridade do código, que seria importante para evitar que criminosos incorporem o seu próprio código na aplicação e substituam o programa original por outro;
  • Não uso de técnicas de detecção de desbloqueio do tipo rooting, que fornecem aos trojans funcionalidades de administrador, praticamente infinitas, além de deixar a aplicação desprotegida;
  • Falta de proteção contra técnicas de sobreposição de aplicações. Isso ajuda as apps maliciosas a mostrar janelas de phishing e roubar credenciais dos utilizadores;
  • Armazenamento de logins e senhas em texto simples. Este ponto fraco permite ao criminoso roubar os dados dos utilizadores com relativa facilidade.

“A principal conclusão da nossa pesquisa é que, no seu estado atual, as aplicações de carros conectados não estão prontas para resistir a ataques de malware. Pensando na segurança do veículo, não basta considerar apenas a segurança da infraestrutura do servidor. Os fabricantes de carros devem percorrer o mesmo caminho que os bancos já trilharam com as suas aplicações. Inicialmente, as aplicações de bancos não tinham todos os recursos de segurança listados na nossa pesquisa. Agora, depois de vários casos de ataques contra aplicativos bancários, os bancos melhoraram a segurança dos seus produtos. Felizmente, ainda não detectamos casos de ataques contra aplicações de automóveis; ou seja, os fornecedores de carros ainda têm tempo de fazer o que é necessário. Não se sabe exatamente quanto tempo. Os cavalos de Troia modernos são muito flexíveis – em um dia, eles podem agir como um adware normal e, no dia seguinte, descarregar facilmente uma nova configuração que possibilita o ataque a novas aplicações. A superfície de ataque é realmente muito ampla”, disse, em comunicado, Victor Chebyshev, especialista em segurança da Kaspersky Lab.

A empresa recomenda algumas medidas de proteção com vista a aumentar a segurança de utilizadores e veículos:

  • Não desbloquear o dispositivo Android por rooting, pois isso abre funcionalidades praticamente ilimitadas a aplicações maliciosas;
  • Desativar a opção de instalar apps de fontes que não sejam as lojas oficiais de aplicações;
  • Manter a versão do sistema operativo do dispositivo atualizada para reduzir as vulnerabilidades de software e o risco de ataques;
  • Instalar uma solução de segurança comprovada para proteger o dispositivo de ataques virtuais.