Especialistas da Kaspersky analisaram 69 aplicações móveis de fabricantes não-oficiais para controlar automóveis conectados.
A investigação revela que mais de metade (58%) utiliza as credenciais dos proprietários dos veículos sem pedir consentimento. Além disso, uma cada 7 não tem informação de contacto, o que impossibilita reportar potenciais problemas.
Apps não-oficiais para automóveis conectados apresentam problemas de privacidade
As aplicações para automóveis conectados oferecem uma ampla gama de funções que facilitam a vida dos condutores. Por exemplo, permitem o controlo remoto dos veículos, abrir ou fechar portas, ajustar a climatização e mesmo ligar ou desligar o motor.
Apesar de a maioria dos fabricantes de automóveis ter a sua própria aplicação, as apps de terceiros também são muito populares entre os utilizadores, uma vez que oferecem funcionalidades que ainda não foram introduzidas pelas marcas oficiais.
As apps de terceiros analisadas pela Kaspersky incluem quase todas as marcas principais de veículos, como a Tesla, Nissan, Renault, Ford e Volkswagen.
Os especialistas examinaram 69 aplicações de terceiros concebidas para automóveis conectados, identificando os principais riscos de privacidade enfrentados pelos utilizadores. Mais de metade das aplicações (58%) não alertam para os riscos de utilizar a conta de proprietário do serviço original do fabricante de automóveis.
Alguns programadores aconselham utilizar o token de autorização em vez de um nome de utilizador e uma palavra-passe de modo a parecer mais credível. Contudo, se o token estiver comprometido, os cibercriminosos podem aceder aos carros da mesma maneira fariam se tivessem as credenciais das vítimas. Significa isto que o risco de perder o controlo dos veículos continua elevado. Ainda assim, apenas 19% dos fabricantes mencionam ou advertem para este risco.
O relatório revela ainda que 1 em cada 7 (14%) aplicações de automóveis conectados não fornece detalhes de contacto do fabricante, o que faz com que seja impossível reportar possíveis erros ou pedir mais informação sobre a política de privacidade.
Isto demonstra que a maioria destas aplicações são desenvolvidas por amadores, o que não é necessariamente mau, mas significa, por norma, que a preocupação com a segurança dos veículos e da informação é um pouco menor do que seria se se tratasse de uma app do respetivo fabricante.
É importante destacar ainda que 46 das 69 aplicações analisadas são gratuitas ou oferecem uma versão experimental, o que explica os mais de 239.000 downloads na Google Play Store, evidenciando igualmente o número de pessoas que permitem que desconhecidos acedam aos seus veículos.
Os benefícios de um mundo conectado são incontáveis. Contudo, há que ter em conta que se trata de uma indústria em desenvolvimento e, como tal, existem certos riscos. Ao descarregar uma aplicação de um terceiro para controlar remotamente o seu carro, é importante que os utilizadores estejam conscientes das ameaças.
Confiamos muita informação privada e dados pessoais à tecnologia conectada. Infelizmente, nem todos os programadores adotam uma atitude responsável na hora de armazenar e recolher dados, o que faz com que os utilizadores exponham a sua informação pessoal. Estes dados podem ser vendidos da “darkweb” e ir parar a mãos pouco fiáveis.
Os cibercriminosos podem não só roubar dados e credenciais pessoais, como conseguem também aceder aos automóveis conectados, dando lugar a situações perigosas para a integridade física. Por estas razões, instamos os programadores de aplicações a priorizar a proteção do utilizador e a tomar medidas para evitar comprometer os seus clientes e a si próprios.
Sergey Zorin, responsável de cibersegurança da Kaspersky
Estas são as recomendações da Kaspersky para os utilizadores:
- Descarregar apenas aplicações de fontes oficiais como Apple App Store, Google Play ou Amazon Appstore. Apesar de não serem 100% seguras, nestas plataformas, as aplicações são revistas e filtradas.
- Analisar e ser crítico em relação às permissões das aplicações e pensar bem antes de autorizar algo, especialmente quando se trata de permissões de alto risco, como é o caso dos Serviços de Acessibilidade. Por exemplo, a única permissão que uma app de uma lanterna precisa é a que permite aceder à funcionalidade da lanterna.
- Adotar uma solução de segurança fiável para deteção das aplicações maliciosas e adware antes que seja possível atacar o dispositivo.
- Atualizar o sistema operativo e todo o software com regularidade. Muitos problemas de segurança podem resolver-se seguindo este simples passo.
Para os programadores, as recomendações são as seguintes:
- Adotar soluções que protejam o processo de desenvolvimento de software, monitorizando as aplicações aquando da sua execução, realizando scans às possíveis vulnerabilidades, bem como análises regulares de segurança. Uma vez que os ataques à cadeia de abastecimento através de repositórios públicos são cada vez mais frequentes, o processo de desenvolvimento de aplicações necessita de uma maior proteção contra interferências externas.
- Utilizar soluções especializadas. A solução Kaspersky Hybrid Cloud Security contempla as necessidades de segurança dos programadores, na medida em que protege contentores Docker e Windows e oferece uma abordagem de “segurança como código”, com proteção da memória do anfitrião ou digitalização de imagens e interfaces. Desta forma, é possível integrar tarefas de segurança em condutas CI/CD sem afetar o processo de desenvolvimento.
- Implementar mecanismos de proteção na aplicação. A solução Kaspersky Mobile SDK garante proteção de dados aos clientes, bem como deteção de malware, conectividade segura e muito mais.
Para saber mais sobre os riscos de utilizar aplicações não oficiais para automóveis conectados, visite Securelist.com.
Participe no passatempo: