Android-apps van grote autofabrikanten maken auto’s kwetsbaar
De auto met Internet-functionaliteit is de laatste jaren in opmars. Deze on-line connectiviteit betreft niet alleen infotainment-systemen, maar ook belangrijke voertuigsystemen als deursloten en ontsteking. Het is nu mogelijk om, met behulp van mobiele applicaties, de precieze locatie van het voertuig vast te stellen, de portieren te openen, de motor te starten en devices in de auto te bedienen. Aan de ene kant zijn dit heel nuttige functies, maar er is ook een keerzijde: hoe wapenen auto-fabrikanten deze apps tegen cyber-aanvallen.
Om dit uit te vinden, testten onderzoekers van Kaspersky Lab de applicaties van zeven grote autofabrikanten voor het op afstand bedienen van hun auto’s. Het gaat in alle gevallen om apps die volgens de statistieken van Google Play minstens tienduizenden keren zijn gedownload, in enkel gevallen zelfs vijf miljoen keer. Het onderzoek wees uit dat alle onderzochte apps met veiligheidsvraagstukken kampen.
De lijst van vastgestelde beveiligingsproblemen omvat:
- Geen bescherming tegen application reverse engineering. Als gevolg hiervan kunnen kwaadwillende gebruikers uitvinden hoe de app functioneert en zwakke plekken opsporen die hen in staat stellen om toegang te verkrijgen tot server-side infrastructuur of het multimedia-systeem van de auto.
- Geen code integrity check. Dat is cruciaal omdat het criminelen in staat stelt hun eigen code in de app te verwerken en het originele programma door een nepversie te vervangen.
- Geen rooting dectection-technieken. Root-rechten bieden Trojans bijna eindeloze mogelijkheden en maken de app weerloos.
- Onvoldoende bescherming tegen app overlaying-technieken. Dat biedt kwaadaardige apps mogelijkheden tot phishing en diefstal van gebruikersgegevens.
- Opslag van gebruikersnamen en wachtwoorden in platte tekst. Een dergelijke zwakke plek maakt het eenvoudig om gebruikersgegevens te stelen.
Na succesvolle exploitatie van een van voornoemde kwetsbaarheden, kan een crimineel de portieren ontgrendelen, het alarm uitschakelen en, in theorie, de auto stelen.
KASPERSKY BENELUX B.V.
Voor u geselecteerd
Kort de voordelen van een abonnement...
Belangrijk nieuws te delen?
Ontvang Leads voor 19€/mnd
- Ontvang automatisch info over leads, klanten, concurrenten en partners
- Alle data en artikels staat voor u beschikbaar
- Maandelijks opzegbaar
Wilt u meer bedrijven bereiken?
Word dan dVO Reach en promoot uw bedrijfsverhaal bij 50.000 beslissers.