ANDROID SLO

Iskalnik po strani android slo

Kaspersky preveril, kako nevarne so aplikacije za avtomobile

Kaspersky, eno glavnih imen na svetu pri odkrivanju nevarnosti v digitalnem svetu, je vzel v precep sedem tovarniških aplikacij za mobilne telefone, ob pomoči katerih je mogoče na daljavo nadzirati in upravljati z nekaterimi funkcijami avtomobila. Nekatere znamke so šle tako daleč, da omogočajo prek zaslona telefona celo odklepanje vrat ali celo prižiganja motorja, še vedno je tudi sveža ideja, da bo aplikacija za telefon nadomeščala avtomobilski ključ. A kako varne so te "uporabne" aplikacije pred nepridipravi?

  •  Družbo Kaspersky Lab je leta 1997 ustanovil Evgenij Kasperski, diplomant inštituta za kriptografijo, ko je slednjega še sponzoriral zloglasni KGB. Kasperski je bil po diplomi zaposlen v ruski vojski kot programski inženir, leta 1992 pa je spisal prvi tržni program za odkrivanje računalniških virusov. Danes podjetje zaposluje prek 3.000 ljudi in je eno vodilnih podjetij na svetu za kibernetsko varnost. 

     

Pri Kaspersky niso sporočili imen aplikacij oziroma avtomobilskih znamk, čeprav se da pri zamegljenih logotipih aplikacij vsaj slutiti, o katerih gre govora.

Pri vsaki aplikaciji so preizkušali, kako varna je pri zaščiti ključnih podatkov, pomembnih za komunikacijo med telefonom in avtom (uporabniško ime, gesla, VIN ...). Prav vsaka je imela slabosti in pri družbi se čudijo, kako da si razvijalci tovrstnih aplikacij niso vzeli niti toliko časa, da bi si prebrali že vsa doslej spisana poročila in predloge glede zaščite aplikacij. 

Pri večini aplikacij bi podtaknjen trojanec nepridipravom omogočil, da brez posebnih težav odklenejo avto in izklopijo varovanje. Morda bi se zataknilo le pri vžigu avta, a tudi to prepreko zmorejo ločena namenska orodja hitro premostiti, še posebej če ima tat kakšno sekundo več časa, ker ga ne preganja izklopljen alarm. 

Pri aplikacijah (vse so bile iz Google Play tržnice, torej narejene za Androidni operacijski sistem) je prihajalo do razlik, kaj bi moral nepridiprav storiti, da bi mu uspelo podtakniti trojanca. Pri nekaterih modelih bi moral vseeno imeti prej dostop do notranjosti avta, oziroma bi moral lastnika na nek način prepričati, da "posodobi" sistem infotainmenta (denimo prek SD kartice).

Primer, kako aplikacije uporabniško ime in geslo za dostop do avta nič preveč ne skrivajo.  Pri drugih aplikacijah pa bi šlo vse skupaj precej hitreje, dovolj bi bila okužba telefona. Raziskovalci so znotraj telefona v nekaterih primerih celo zlahka locirali datoteke, ki so vsebovale nešifrirane ključne podatke in gesla za komunikacijo z avtom. 

Pri eni aplikaciji jim je to uspelo s preprosto zlonamerno kodo, ki je bila dolga vsega 50 vrstic!

  • Aplikacija ni varna pred postopki obratnega inženirstva: posledično lahko nepridipravi spoznajo delovanje aplikacije in najdejo pomanjkljivosti, ki jim omogočijo dostop do strežniške infrastrukture ali multimedijskega sistema avtomobila.
  • Ni preverjanja celovitosti kode: to omogoča kriminalcem vgraditev njihove lastne kode v aplikacijo in zamenjavo originalnega programa z lažnim.
  • Ni tehnik za zaznavo pridobitve korenskega dostopa (angl. rooting): takšne pravice omogočijo trojancem skoraj neskončne zmožnosti, medtem pa aplikacija postane povsem brez možnosti obrambe.
  • Pomanjkanje zaščite pred tehnikami prekrivanja aplikacije (angl. overlaying techniques): to pomaga zlonamernim aplikacijam prikazovati okna za ribarjenje in krajo uporabnikovih podatkov.
  • Shranjevanje uporabniških imen in gesel v golem besedilu: takšen pristop uporabnikov k shranjevanju podatkov za dostop do računov lahko kibernetski kriminalci razmeroma preprosto izkoristijo za krajo osebnih podatkov.

"Glavni zaključek naše raziskave trenutnega stanja je, da aplikacije za povezane avtomobile
niso pripravljene na način, da bi onemogočile napade kibernetskih kriminalcev. Razmišljanje
o varnosti povezanih avtomobilov bi moralo preiti tudi onstran varnosti strežniške infrastrukture. Pričakujemo, da se bodo morali proizvajalci avtomobilov podati na isto pot kot banke s svojimi aplikacijami. Po naših podatkih aplikacije za spletno bančništvo sprva niso imele vseh potrebnih varnostnih lastnosti. Sedaj pa so po številnih napadih na bančne aplikacije, banke izboljšale varnost svojih produktov. Na srečo še nismo zaznali primera napada na mobilne aplikacije za povezane avtomobile, kar pomeni, da imajo ponudniki še čas za ukrepanje. Koliko časa je to, ostaja neznanka. Sodobni trojanci so zelo fleksibilni – sprva delujejo kot običajna oglaševalska programska oprema (angl. adware), nato pa s preprosto nadgradnjo napadejo aplikacije. Področje za napad je tako zares široko," pojasnjuje Victor Chebyshev, varnostni strokovnjak pri Kaspersky Labu.

Če uporabljate aplikacijo za povezane avtomobile, potem obvezno upoštevajte naslednje varnostne ukrepe: 

  • Ne omogočite korenskega dostopa na svoji napravi z operacijskim sistemom Android, saj bi tako zlonamernim aplikacijam omogočili skoraj neomejene zmožnosti.
  • Onemogočite namestitev aplikacij iz virov, ki niso uradne spletne trgovine.
  • Poskrbite za nenehno posodabljanje svojega operacijskega sistema in tako zmanjšajte ranljivosti v programski opremi in tveganje za napad.
  • Namestite zanesljivo varnostno rešitev, ki bo napravo varovala pred kibernetskimi napadi.
 

Vir

Dodaj komentar

Varnostna koda
Osveži

Android novice

Scroll to top