«Лаборатория Касперского» выяснила, насколько хорошо защищены от атак приложения для дистанционного управления автомобилем с подключением к Интернету.
В ходе исследования изучались программы семи крупных автопроизводителей: число загрузок этих мобильных приложений в Google Play колеблется от нескольких десятков тысяч до пяти миллионов. Эксперты проверили ДУ-клиенты на предмет слабых мест, которыми могут воспользоваться злоумышленники для доступа к инфраструктуре автомобиля.
Результаты оказались неутешительными: в каждом из приложений были обнаружены проблемы с безопасностью. «Лаборатория Касперского» выделяет пять основных моментов, которые вызывают серьёзные опасения.
Во-первых, отсутствует защита от обратной разработки, или реверс-инжиниринга. Злоумышленники могут подробно изучить код программы, понять, как она работает, и найти уязвимости.
Во-вторых, не предусмотрен контроль целостности кода. Преступники могут интегрировать свой собственный код в приложение, и тогда в системе окажутся две версии программы — оригинал и его вредоносная модификация. Последняя позволит получить несанкционированный доступ к автомобилю.
В-третьих, отсутствует контроль Root-доступа. Между тем такие права дают зловредам почти неограниченные возможности и фактически лишают приложение какой-либо защиты.
В-четвёртых, нет защиты от перекрытия окон: вредоносное ПО может показать фишинговое окно поверх оригинального приложения и украсть пользовательские данные.
Наконец, в-пятых, логины и пароли зачастую хранятся в виде обычного текста. А это означает, что их кража не представляет особого труда.
В целом, говорят эксперты, безопасность автомобильных приложений в их нынешнем виде оставляет желать много лучшего. В случае успешной атаки злоумышленники могут открыть двери автомобиля, выключить сигнализацию, включить зажигание и пр. Более подробно с результатами исследования можно ознакомиться здесь.
Источник:
