;

Nezabezpečené aplikace pro Android vystavují riziku auta

20. 2. 2017
Doba čtení: 2 minuty

Sdílet

 Autor: © adimas - Fotolia.com
Aplikace pro Android, které umožňují milionům majitelům aut vzdáleně lokalizovat a odemykat svá vozidla, postrádají bezpečnostní funkce, které by zamezily jejich zneužití hackery.

Experti z bezpečnostní firmy Kaspersky Lab prozkoumali sedm z nejpopulárnějších androidových aplikací, které doplňují připojená auta od různých výrobců, a zanalyzovali je z pohledu napadeného androidového zařízení. Aplikace ani výrobci aut nebyli jmenováni.

Badatelé zjišťovali, zda takové aplikace využívají některé z dostupných protiopatření, která by útočníkům ztěžovala jejich únos ve chvíli, kdy jsou zařízení, na nichž jsou nainstalovány, infikována malwarem. Jiné typy aplikací, jako třeba bankovní aplikace, takovou ochranou disponují.

Analýza odhalila, že žádná z testovaných aplikací nevyužívá „mlžení“ kódu, která by útočníkům komplikovala jejich zpětný rozbor (reverse engineering), a žádná nevyužívá ani kontrolu integrity kódu k zamezení škodlivé manipulace.

Dvě aplikace nešifrovaly přihlašovací údaje ukládané lokálně a čtyři šifrovaly pouze heslo. Žádná z aplikací nekontrolovala, zda je zařízení, na kterém běží, rootováno, což by mohlo signalizovat jejich nezabezpečenost a potenciální zneužitelnost.

A nakonec žádná z testovaných aplikací nevyužívala ochranu proti překrytí (overlay protection), která by ostatním aplikacím zamezovala v „překreslování“ přes jejich obrazovky. Existují malwarové aplikace, které zobrazují falešné přihlašovací stránky překrývající jiné aplikace, čímž uživatele nalákají do pasti a vezmou si od něj jeho přihlašovací údaje.

Ačkoliv by zneužití aplikací pro připojená auta nemuselo přímo umožnit krádež, mohlo by zjednodušit situaci potenciálním zlodějům. Mnoho takových aplikací (nebo přihlašovacích údajů na nich uložených) může být využito ke vzdálenému odemknutí vozidla a deaktivaci jeho alarmu.

Badatelé Kaspersky Lab se navíc nechali slyšet, že potenciální rizika nejsou omezena na pouhou krádež vozidla. Vzdálený přístup k vozidlu a svévolné ovlivňování jeho prvků může vést k dopravním nehodám, zraněním i smrti.

bitcoin_skoleni

Výrobci sice spěchají s tím, aby autům přidávali chytré funkce, které mají jejich majitelům vylepšit uživatelský zážitek, nicméně se zpravidla více zaměřují na zabezpečení back-endové infrastruktury a komunikačních kanálu. Kaspersky ovšem varuje, že ignorován by neměl být ani kód na straně klienta, jako jsou právě doplňující mobilní aplikace, který je pravděpodobně nejslabším článkem celého zabezpečení.

Zdroj: CIO.com