Os investigadores da Kaspersky Lab testaram 13 aplicações de carsharing, desenvolvidas por fabricantes de diferentes mercados e que, de acordo com as estatísticas da Google Play, foram transferidas mais de um milhão de vezes. A investigação descobriu que cada uma das aplicações examinadas continha vários riscos de segurança.
Além disso, foram também detectados utilizadores maliciosos que já monetizam várias contas roubadas de aplicações de carsharing.
A lista de vulnerabilidades descobertas inclui a falta de defesa contra ataques man-in-the-middle. Ainda que o utilizador esteja ligado a um website legítimo, o tráfego está a ser redireccionado através de um site do hacker, permitindo-lhe recolher os dados pessoais que a vítima tenha inserido na aplicação (login, palavra-passe, PIN, etc.).
Além da inexistência de defesas contra aplicações de desencriptação (reverse engineering), menos de metade das aplicações obrigam à criação de palavras-passe fortes por parte dos utilizadores, o que significa que os hackers podem simplesmente atacar as vítimas através de um cenário de força bruta.
Após a exploração bem-sucedida destas vulnerabilidades, um hacker pode, discretamente, obter o controlo do automóvel e utilizá-lo para os seus objectivos maliciosos – desde simples viagens gratuitas ou espiar o utilizador, até cenários mais graves como o roubo de informações – do veículo em si ou de diferentes utilizadores – para venda no mercado negro.
O roubo de identidade e do veículo também permite aos hackers conduzir de forma ilegal e perigosa sob a identidade de outro utilizador.
A investigação da Kaspersky Lab concluiu que, actualmente, as aplicações de serviços de carsharing não estão preparadas para aguentar ataques de malware. E, apesar de ainda não ter sido detectado nenhum ataque sofisticado contra estes serviços, os hackers estão cientes do valor inerente a estas aplicações, e as ofertas existentes no mercado negro revelam que os fornecedores não têm muito tempo para remover as vulnerabilidades.
Via Kaspersky Lab.