Cercetătorii Kaspersky Lab au examinat securitatea a 13 aplicații de car sharing, de la producători din Europa, Rusia și SUA. Experții companiei au descoperit că toate aplicațiile conțin o serie de probleme de securitate care le-ar putea permite infractorilor să obțină controlul asupra autovehiculelor folosite în comun, fie în secret, fie folosind identitatea unui alt utilizator. Odată obținut accesul prin intermediul aplicației, un infractor poate face aproape orice: să fure vehiculul sau datele sale, să îi provoace daune sau să îl folosească în alte scopuri rău intenționate.
Aplicațiile sunt create pentru a ne face viața și tranzacțiile mai simple. Acest concept a fost aplicat și în aplicații de sharing, care pot face totul, de la livrări de mâncare, la taxi și car sharing, pentru a beneficia de diverse servicii într-un mod mai avantajos din punct de vedere al costurilor. Dar, dacă aceste aplicații de car sharing sunt foarte utile pentru cei cu venituri mai mici, eliminând costurile suplimentare aduse de deținerea și întreținerea unui autovehicul, la fel de adevărat este că ele pot reprezenta un risc de securitate pentru producători și utilizatori.
Pentru a afla amploarea problemei, cercetătorii Kaspersky Lab au testat 13 aplicații de car sharing, dezvoltate de mari producători de pe piețe diferite, care au fost descărcate de peste 1 milion de ori – potrivit statisticilor Google Play. În urma cercetării a reieșit că fiecare dintre aplicații conținea mai multe probleme de securitate. În plus, experții au descoperit utilizatori rău intenționat care folosesc deja conturi furate pentru aplicații de car sharing.
Acest lucru este cu atât mai îngrijorător cu cât o cercetare recentă Kaspersky Lab despre atitudinile consumatorilor față de securitatea aplicațiilor a arătat că europenii nu văd o amenințare în aplicațiile de card sharing, comparativ cu alte aplicații, cum sunt cele de social media, de mesagerie și bancare, sub 10% dintre respondenți considerând că nu sunt de încredere.
Lista vulnerabilităților de securitate descoperite include:
- Nu există defensivă împotriva atacurilor de tip man-in-the-middle. Acest lucru înseamnă că un utilizator consideră că este conectat la un site legitim, dar de fapt traficul este redirecționat către site-ul atacatorului, permițându-i să colecteze orice date personale au fost introduse de victimă (utilizator, parolă, PIN etc.).
- Nu există defensivă împotriva acțiunii de reverse engineering. Prin urmare, un infractor poate înțelege cum funcționează aplicația și găsi o vulnerabilitate care să-i permită să obțină acces la infrastructura serverului.
- Nu există tehnici de detecție a acțiunilor de rooting. Drepturile de administrator îi oferă unui utilizator rău intenționat posibilități aproape nelimitate de acțiune.
- Lipsa protecției împotriva tehnicilor de suprapunere, care le permit aplicațiilor periculoase să afișeze ferestre de phishing și să fure datele de autentificare ale utilizatorului.
- Mai puțin de jumătate dintre aplicații solicită parole complexe de la utilizatori, ceea ce înseamnă că infractorii pot ataca victimele prin intermediului unui scenariu simplu de atac de tip „forță brută”.
Dacă reușește să exploateze aceste vulnerabilități, un atacator poate să obțină, discret, controlul asupra mașinii și să o folosească după bunul plac – de la călătorii gratuite, la spionarea utilizatorilor și furtul autovehiculului și al datelor sale. De asemenea, poate să fure informațiile personale ale utilizatorilor și să le vândă pe piața neagră pentru a face bani. Astfel, infractorii ar putea să întreprindă acțiuni periculoase sau ilegale pe șosele, la adăpostul identității altor persoane.
„Concluzia cercetării noastre este că, în starea actuală, aplicațiile de car sharing nu sunt pregătite să respingă atacuri malware”, spune Victor Chebyshev, security expert la Kaspersky Lab. „Și, chiar dacă nu am detectat încă atacuri sofisticate împotriva serviciilor de car sharing, infractorii cibernetici înțeleg valoarea unor astfel de aplicații, iar ofertele curente de piața neagră ne arată că producătorii nu au mult timp la dispoziție ca să elimine vulnerabilitățile.”
Cercetătorii Kaspersky Lab le recomandă utilizatorilor de aplicații de car sharing să respecte câteva măsuri pentru a-și proteja mașinile și datele private de posibile atacuri cibernetice:
- Nu faceți root dispozitivului Android, pentru că este o ușă deschisă pentru aplicațiile periculoase;
- Păstrați sistemul de operare al dispozitivului actualizat, pentru a reduce numărul de vulnerabilități de software și riscul de atac;
- Instalați o soluție de securitate eficientă.