Kaspersky, eno glavnih imen na svetu pri odkrivanju nevarnosti v digitalnem svetu, je vzel v precep sedem tovarniških aplikacij za mobilne telefone, ob pomoči katerih je mogoče na daljavo nadzirati in upravljati z nekaterimi funkcijami avtomobila. Nekatere znamke so šle tako daleč, da omogočajo prek zaslona telefona celo odklepanje vrat ali celo prižiganja motorja, še vedno je tudi sveža ideja, da bo aplikacija za telefon nadomeščala avtomobilski ključ. A kako varne so te "uporabne" aplikacije pred nepridipravi?
Pri Kaspersky niso sporočili imen aplikacij oziroma avtomobilskih znamk, čeprav se da pri zamegljenih logotipih aplikacij vsaj slutiti, o katerih gre govora.
Pri vsaki aplikaciji so preizkušali, kako varna je pri zaščiti ključnih podatkov, pomembnih za komunikacijo med telefonom in avtom (uporabniško ime, gesla, VIN ...). Prav vsaka je imela slabosti in pri družbi se čudijo, kako da si razvijalci tovrstnih aplikacij niso vzeli niti toliko časa, da bi si prebrali že vsa doslej spisana poročila in predloge glede zaščite aplikacij.
Pri večini aplikacij bi podtaknjen trojanec nepridipravom omogočil, da brez posebnih težav odklenejo avto in izklopijo varovanje. Morda bi se zataknilo le pri vžigu avta, a tudi to prepreko zmorejo ločena namenska orodja hitro premostiti, še posebej če ima tat kakšno sekundo več časa, ker ga ne preganja izklopljen alarm.
Pri aplikacijah (vse so bile iz Google Play tržnice, torej narejene za Androidni operacijski sistem) je prihajalo do razlik, kaj bi moral nepridiprav storiti, da bi mu uspelo podtakniti trojanca. Pri nekaterih modelih bi moral vseeno imeti prej dostop do notranjosti avta, oziroma bi moral lastnika na nek način prepričati, da "posodobi" sistem infotainmenta (denimo prek SD kartice).
Pri eni aplikaciji jim je to uspelo s preprosto zlonamerno kodo, ki je bila dolga vsega 50 vrstic!
Seznam najvidnejših varnostnih tveganj:
- Aplikacija ni varna pred postopki obratnega inženirstva: posledično lahko nepridipravi spoznajo delovanje aplikacije in najdejo pomanjkljivosti, ki jim omogočijo dostop do strežniške infrastrukture ali multimedijskega sistema avtomobila.
- Ni preverjanja celovitosti kode: to omogoča kriminalcem vgraditev njihove lastne kode v aplikacijo in zamenjavo originalnega programa z lažnim.
- Ni tehnik za zaznavo pridobitve korenskega dostopa (angl. rooting): takšne pravice omogočijo trojancem skoraj neskončne zmožnosti, medtem pa aplikacija postane povsem brez možnosti obrambe.
- Pomanjkanje zaščite pred tehnikami prekrivanja aplikacije (angl. overlaying techniques): to pomaga zlonamernim aplikacijam prikazovati okna za ribarjenje in krajo uporabnikovih podatkov.
- Shranjevanje uporabniških imen in gesel v golem besedilu: takšen pristop uporabnikov k shranjevanju podatkov za dostop do računov lahko kibernetski kriminalci razmeroma preprosto izkoristijo za krajo osebnih podatkov.
"Glavni zaključek naše raziskave trenutnega stanja je, da aplikacije za povezane avtomobile
niso pripravljene na način, da bi onemogočile napade kibernetskih kriminalcev. Razmišljanje
o varnosti povezanih avtomobilov bi moralo preiti tudi onstran varnosti strežniške infrastrukture. Pričakujemo, da se bodo morali proizvajalci avtomobilov podati na isto pot kot banke s svojimi aplikacijami. Po naših podatkih aplikacije za spletno bančništvo sprva niso imele vseh potrebnih varnostnih lastnosti. Sedaj pa so po številnih napadih na bančne aplikacije, banke izboljšale varnost svojih produktov. Na srečo še nismo zaznali primera napada na mobilne aplikacije za povezane avtomobile, kar pomeni, da imajo ponudniki še čas za ukrepanje. Koliko časa je to, ostaja neznanka. Sodobni trojanci so zelo fleksibilni – sprva delujejo kot običajna oglaševalska programska oprema (angl. adware), nato pa s preprosto nadgradnjo napadejo aplikacije. Področje za napad je tako zares široko," pojasnjuje Victor Chebyshev, varnostni strokovnjak pri Kaspersky Labu.
Če uporabljate aplikacijo za povezane avtomobile, potem obvezno upoštevajte naslednje varnostne ukrepe:
- Ne omogočite korenskega dostopa na svoji napravi z operacijskim sistemom Android, saj bi tako zlonamernim aplikacijam omogočili skoraj neomejene zmožnosti.
- Onemogočite namestitev aplikacij iz virov, ki niso uradne spletne trgovine.
- Poskrbite za nenehno posodabljanje svojega operacijskega sistema in tako zmanjšajte ranljivosti v programski opremi in tveganje za napad.
- Namestite zanesljivo varnostno rešitev, ki bo napravo varovala pred kibernetskimi napadi.
dezurni@zurnal24.si
