Приложения для дистанционного управления автомобилем — находка для злоумышленников

«Лаборатория Касперского» выяснила, насколько хорошо защищены от атак приложения для дистанционного управления автомобилем с подключением к Интернету.

В ходе исследования изучались программы семи крупных автопроизводителей: число загрузок этих мобильных приложений в Google Play колеблется от нескольких десятков тысяч до пяти миллионов. Эксперты проверили ДУ-клиенты на предмет слабых мест, которыми могут воспользоваться злоумышленники для доступа к инфраструктуре автомобиля.

Результаты оказались неутешительными: в каждом из приложений были обнаружены проблемы с безопасностью. «Лаборатория Касперского» выделяет пять основных моментов, которые вызывают серьёзные опасения.

Во-первых, отсутствует защита от обратной разработки, или реверс-инжиниринга. Злоумышленники могут подробно изучить код программы, понять, как она работает, и найти уязвимости.

Во-вторых, не предусмотрен контроль целостности кода. Преступники могут интегрировать свой собственный код в приложение, и тогда в системе окажутся две версии программы — оригинал и его вредоносная модификация. Последняя позволит получить несанкционированный доступ к автомобилю.

В-третьих, отсутствует контроль Root-доступа. Между тем такие права дают зловредам почти неограниченные возможности и фактически лишают приложение какой-либо защиты.

В-четвёртых, нет защиты от перекрытия окон: вредоносное ПО может показать фишинговое окно поверх оригинального приложения и украсть пользовательские данные.

Наконец, в-пятых, логины и пароли зачастую хранятся в виде обычного текста. А это означает, что их кража не представляет особого труда.

В целом, говорят эксперты, безопасность автомобильных приложений в их нынешнем виде оставляет желать много лучшего. В случае успешной атаки злоумышленники могут открыть двери автомобиля, выключить сигнализацию, включить зажигание и пр. Более подробно с результатами исследования можно ознакомиться здесь.

Источник:

Автомобили, автомобильная электроника, безопасность, кибербезопасность, лаборатория касперского, мобильное по, приложения

Читайте также