58% dos apps não-oficiais para carros conectados usam dados pessoais sem permissão

Especialistas da Kaspersky analisaram 69 aplicativos para celular de fabricantes não-oficiais para controlar carros conectados. A investigação revela que mais da metade (58%) deles utiliza as credenciais dos proprietários dos veículos sem consentimento. Além disso, 1 em cada 7 não contém as informações para contato, o que impossibilita reportar potenciais problemas.

Os aplicativos para automóveis oferecem uma ampla gama de funções que facilitam a vida dos condutores, como destravamento de portas, ajuste da tempuratura ou mesmo ligar/desligar o motor. Apesar da maioria dos fabricantes de automóveis terem seu próprio aplicativo, os apps de terceiros são muito populares por oferecem funcionalidades que ainda não foram introduzidas pelas marcas oficiais.

Os especialistas da Kaspersky examinaram 69 aplicativos de terceiros para identificar os principais riscos à privacidade e consideraram programas que são compatíveis com carros Tesla, Nissan, Renault, Ford e Volkswagen. O resultado mostra que mais de metade (58%) não alertam os riscos de se utilizar a conta do serviço original (do fabricante do carro) nessa integração. Isso é um perigo, visto que esses aplicativos foram baixados mais de 239 mil vezes na Google Play Store.

Alguns programadores aconselham utilizar um token de autorização em vez do nome de usuário e senha. Contudo, se o token estiver comprometido, os cibercriminosos podem ter acesso aos carros como se tivessem as credenciais das vítimas. Com isso, o risco de perder o controle dos veículos continua elevado e, ainda assim, cerca de 20% dos fabricantes mencionam ou advertem para este risco.

O relatório revela ainda que 1 em cada 7 (14%) softwares não fornece detalhes de contato do fabricante, o que faz com que seja impossível reportar possíveis erros ou pedir mais informação sobre a política de privacidade. Isto demonstra que a maioria destes aplicativos são desenvolvidos por empresas iniciantes, o que não é necessariamente ruim, mas significa, em termos gerais, que a preocupação com a segurança dos veículos e com os dados seja menor menor caso se tratasse de um app de uma empresa mais consolidada.

“Os benefícios de um mundo conectado são incontáveis. Contudo, ao baixar um aplicativo de terceiro para controlar remotamente o seu carro, é importante que as pessoas estejam conscientes das ameaças. Infelizmente, nem todos os programadores adotam uma atitude responsável na hora de armazenar e recolher dados, o que faz com que as informações pessoais estejam vulneráveis. Estes dados podem ser vendidos no mercado ilegal e ir parar nas mãos de indivíduos mal intencionados. Os cibercriminosos podem não só roubar dados e credenciais pessoais, como conseguem também ter acesso ao veículo, dando lugar a situações perigosas para a integridade física. Por essas razões, sugerimos aos programadores de apps priorizarem a proteção do usuário e a tomar medidas para evitar comprometer seus clientes e a si próprios”, comenta Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.

Estas são as recomendações da Kaspersky para os usuários:

• Baixar apenas aplicativos de fontes oficiais como App Store, Google Play ou Amazon Appstore. Apesar de não serem 100% seguras, nestas plataformas, os apps são revisados e filtrados.
• Analisar e ser crítico em relação às permissões de softwares e pensar bem antes de autorizar algo, especialmente quando se trata de permissões de alto risco, como é o caso dos Serviços de Acessibilidade. Por exemplo, a única permissão que um app de uma lanterna precisa é a que permite autorizar à funcionalidade da lanterna.
• Adotar uma solução de segurança confiável para detecção de softwares maliciosos antes que seja possível infectar o dispositivo.
• Atualizar o sistema operacional e todo o software com regularidade. Muitos problemas de segurança podem ser resolvidos seguindo este simples passo.

Para os programadores, as recomendações são as seguintes:

• Adotar soluções que protejam o processo de desenvolvimento de software, monitorizando os aplicativos e sua execução, realizando escaneamentos às possíveis vulnerabilidades, bem como análises regulares de segurança. Uma vez que os ataques à cadeia de suprimento através de repositórios públicos são cada vez mais frequentes, o processo de desenvolvimento de softwares necessita de uma maior proteção contra interferências externas.
• Utilizar soluções especializadas. A solução Kaspersky Hybrid Cloud Security contempla as necessidades de segurança dos programadores, na medida em que protege contêiners Docker e Windows e oferece uma abordagem de “segurança como código”, com proteção da memória do host ou digitalização de imagens e interfaces. Desta forma, é possível integrar tarefas de segurança em condutas CI/CD sem afetar o processo de desenvolvimento.
• Implementar mecanismos de proteção no app. A solução Kaspersky Mobile SDK garante proteção de dados aos clientes, bem como detecção de malware, conectividade segura e muito mais.