Aplicaţiile de car sharing sunt vulnerabile la atacuri cibernetice

0
0
Publicat:
Ultima actualizare:

Cercetătorii Kaspersky Lab au examinat securitatea a 13 aplicaţii de car sharing, de la producători din Europa, Rusia şi SUA. Experţii companiei au descoperit că toate aplicaţiile conţin o serie de probleme de securitate care le-ar putea permite infractorilor să obţină controlul asupra autovehiculelor folosite în comun, fie în secret, fie folosind identitatea unui alt utilizator.

Odată obţinut accesul prin intermediul aplicaţiei, un infractor poate face aproape orice: să fure vehiculul sau datele sale, să îi provoace daune sau să îl folosească în alte scopuri rău intenţionate. 

Aplicaţiile sunt create pentru a ne face viaţa şi tranzacţiile mai simple. Acest concept a fost aplicat şi în aplicaţii de sharing, care pot face totul, de la livrări de mâncare, la taxi şi car sharing, pentru a beneficia de diverse servicii într-un mod mai avantajos din punct de vedere al costurilor. Dar, dacă aceste aplicaţii de car sharing sunt foarte utile pentru cei cu venituri mai mici, eliminând costurile suplimentare aduse de deţinerea şi întreţinerea unui autovehicul, la fel de adevărat este că ele pot reprezenta un risc de securitate pentru producători şi utilizatori.

Pentru a afla amploarea problemei, cercetătorii Kaspersky Lab au testat 13 aplicaţii de car sharing, dezvoltate de mari producători de pe pieţe diferite, care au fost descărcate de peste 1 milion de ori – potrivit statisticilor Google Play. În urma cercetării a reieşit că fiecare dintre aplicaţii conţinea mai multe probleme de securitate. În plus, experţii au descoperit utilizatori rău intenţionat care folosesc deja conturi furate pentru aplicaţii de car sharing. 

Acest lucru este cu atât mai îngrijorător cu cât o cercetare recentă Kaspersky Lab despre atitudinile consumatorilor faţă de securitatea aplicaţiilor a arătat că europenii nu văd o ameninţare în aplicaţiile de card sharing, comparativ cu alte aplicaţii, cum sunt cele de social media, de mesagerie şi bancare, sub 10% dintre respondenţi considerând că nu sunt de încredere.

Lista vulnerabilităţilor de securitate descoperite include:

Nu există defensivă împotriva atacurilor de tip man-in-the-middle. Acest lucru înseamnă că un utilizator consideră că este conectat la un site legitim, dar de fapt traficul este redirecţionat către site-ul atacatorului, permiţându-i să colecteze orice date personale au fost introduse de victimă (utilizator, parolă, PIN etc.).

Nu există defensivă împotriva acţiunii de reverse engineering. Prin urmare, un infractor poate înţelege cum funcţionează aplicaţia şi găsi o vulnerabilitate care să-i permită să obţină acces la infrastructura serverului.

Nu există tehnici de detecţie a acţiunilor de rooting. Drepturile de administrator îi oferă unui utilizator rău intenţionat posibilităţi aproape nelimitate de acţiune.

Lipsa protecţiei împotriva tehnicilor de suprapunere, care le permit aplicaţiilor periculoase să afişeze ferestre de phishing şi să fure datele de autentificare ale utilizatorului.

Mai puţin de jumătate dintre aplicaţii solicită parole complexe de la utilizatori, ceea ce înseamnă că infractorii pot ataca victimele prin intermediului unui scenariu simplu de atac de tip „forţă brută”.

Dacă reuşeşte să exploateze aceste vulnerabilităţi, un atacator poate să obţină, discret, controlul asupra maşinii şi să o folosească după bunul plac – de la călătorii gratuite, la spionarea utilizatorilor şi furtul autovehiculului şi al datelor sale. De asemenea, poate să fure informaţiile personale ale utilizatorilor şi să le vândă pe piaţa neagră pentru a face bani. Astfel, infractorii ar putea să întreprindă acţiuni periculoase sau ilegale pe şosele, la adăpostul identităţii altor persoane. 

„Concluzia cercetării noastre este că, în starea actuală, aplicaţiile de car sharing nu sunt pregătite să respingă atacuri malware”, spune Victor Chebyshev, security expert la Kaspersky Lab. „Şi, chiar dacă nu am detectat încă atacuri sofisticate împotriva serviciilor de car sharing, infractorii cibernetici înţeleg valoarea unor astfel de aplicaţii, iar ofertele  curente de piaţa neagră ne arată că producătorii nu au mult timp la dispoziţie ca să elimine vulnerabilităţile.”

Cercetătorii Kaspersky Lab le recomandă utilizatorilor de aplicaţii de car sharing să respecte câteva măsuri pentru a-şi proteja maşinile şi datele private de posibile atacuri cibernetice:

Nu faceţi root dispozitivului Android, pentru că este o uşă deschisă pentru aplicaţiile periculoase;

Păstraţi sistemul de operare al dispozitivului actualizat, pentru a reduce numărul de vulnerabilităţi de software şi riscul de atac;

Instalaţi o soluţie de securitate eficientă. 

Mai multe pentru tine:
Cine este regele care avea cel mai bizar fetiș în dormitor. Nu ”ierta” nicio parteneră
Un tezaur roman, ascuns timp de 8 ani, după ce a fost descoperit cu un detector de metale
Ziua în care Biserica a deschis porțile doar pentru personalități. De ce oamenii de rând n-au avut acces în interior la slujba de sfințire a picturii Catedralei Neamului VIDEO
Directorul unei școli s-a stins din viață subit, la 35 de ani. Cutremurător ce mesaj a transmis înainte de moarte: „Lupți pentru 5 minute de viață”
La 70 de ani, schimbă iar scutece, după ce a devenit tată pentru a opta oară!
O contabilă din Kenya a ajuns femeie de serviciu în România și trăiește cu frică. „Mi-e teamă în fiecare zi să nu fiu...”
Ce tranzacții suspecte a descoperit Libra Bank în conturile AUR. Ce plăți s-au făcut către patronul Realitatea PLUS, unde Simion și Georgescu sunt lăudați excesiv
Cauza morții medicului Ștefania Szabo, găsită fără viață în Spitalul de Urgență Buzău. Prima ipoteză plauzibilă și reacția Colegiului Medicilor
Franța pune în serviciu noua generație de rachete nucleare M51.3 de pe submarine
Mirabela Grădinaru, criticată de stiliști pentru că ar fi confundat Sfințirea Catedralei cu o… înmormântare: „Nu apari cu doliu pe cap! Nu ești la funeraliile Reginei Elisabeta!” Ce au spus despre Gigi Becali
CSM reacționează la declarațiile lui Kelemen Hunor privind consultarea CCR pe proiectul pensiilor magistraților: „Un incident inacceptabil și fără precedent”