Beveiligingsexperts van ict-beveiliger Kaspersky waarschuwen voor kwetsbaarheden in de Android-apps van zeven grote autofabrikanten. Volgens de experts zijn de onderzochte apps onvoldoende beveiligd tegen aanvallen van cybercriminelen. Het ontbreekt bijvoorbeeld aan reverse engineering en integriteitscontrole van softwarecode.
Door de kwetsbaarheden kunnen kwaadwillenden de bewegingen van auto’s volgen via gps, op afstand deuren openen, de motor starten of het geluidssysteem inschakelen. In een blogpost stellen de onderzoekers, zonder de precieze apps of fabrikanten te noemen, een aantal beveiligingsproblemen vast.
Zo beschikt één van de onderzochte apps niet over bescherming tegen application reverse engineering. Kaspersky: ‘Daardoor kunnen kwaadwillenden uitvinden hoe de app functioneert en zwakke plekken opsporen die hen in staat stellen om toegang te krijgen tot server-side-infrastructuur of het multimediasysteem van de auto.’
Het ontbrak bij een tweede app aan een ‘code integrity check’. De onderzoekers stellen dat de controle van code cruciaal is omdat het criminelen anders in staat stelt hun eigen code in de app te verwerken. Ze kunnen dan het originele programma vervangen door een nepversie.
Phishing
Bij een derde app ontbrak het aan rooting-detectiontechnieken. Kaspersky: ‘Root-rechten bieden Trojans bijna eindeloze mogelijkheden en maken de app weerloos.’ Bij een vierde app werd onvoldoende bescherming tegen app-overlayingtechnieken aangetroffen. ‘Dit biedt cybercriminelen mogelijkheden tot phishing en diefstal van gebruikersgegevens’, aldus de beveiligingsonderzoekers.
Ook troffen ze aan dat de opslag van gebruikersnamen en wachtwoorden in platte tekst plaatsvindt. ‘Dat maakt het eenvoudig om gebruikersgegevens te stelen’, aldus de onderzoekers.
Volgens Kaspersky gaat het in alle gevallen om apps die volgens de statistieken van Google Play minstens tienduizenden keren zijn gedownload, in enkele gevallen zelfs vijf miljoen keer. Het onderzoek heeft uitgewezen dat alle onderzochte apps te maken hebben met veiligheidsvraagstukken.
Internet-auto
Kaspersky: ‘De auto met internetfunctionaliteit is de laatste jaren in opmars. Deze online connectiviteit betreft niet alleen infotainmentsystemen, maar ook belangrijke voertuigsystemen als deursloten en ontsteking. Het is nu mogelijk om, met behulp van mobiele applicaties, de precieze locatie van het voertuig vast te stellen, de portieren te openen, de motor te starten en devices in de auto te bedienen. Aan de ene kant zijn dit zeer nuttige functies, maar er is ook een andere kant: hoe wapenen autofabrikanten deze apps tegen cyberaanvallen?’
Om dat uit te vinden, hebben ze van zeven grote autofabrikanten de applicaties voor het op afstand bedienen van hun auto’s getest. Bekijk voor meer details de blogpost.