A ideia de usar um aplicativo para controlar seu carro remotamente soa muito legal. Um gelo lá fora? Ligue o motor ainda debaixo das cobertas, e quando você sair de casa, já estará quentinho o esperando. Por outro lado, em caso de calor extremo, você pode deixar o ar-condicionado ligado um pouquinho antes de sair e pronto. Pare de se preocupar em lembrar onde você estacionou – o carro mandará informações de localização via GPS pelo aplicativo o tempo todo.
Parece tentador e é exatamente por isso que cada vez mais modelos de carro passam a fornecer suporte para aplicativos mobile. Porém, isso é seguro? Os especialistas da Kaspersky Lab conduzem estudos em dois estágios para entender esse aspecto de segurança em particular.
A segurança de aplicativos de carros conectados
A primeira etapa do estudo se deu no fim de 2016. Depois, na RSA Conference, em fevereiro de 2017, os analistas de antivírus Mikhail Kuzin e Viktor Chebyshev apresentaram o relatório intitulado Aplicativos mobile e roubo de carros conectados. Os experts analisaram apps Android que permitem ao usuário controlar remotamente carros conectados: destrancar portas, dar a partida, ver a localização do carro em um mapa, visualizar dados em uma linha do tempo, entre outras funções.
Nossos especialistas analisaram nove aplicativos mobile de grandes fabricantes de carros, com foco no teste de sua proteção. O objetivo era avaliar se são protegidos contra três tipos de ataques usados por aplicativos de Android maliciosos: obtenção de permissões de root (rooting), sobreposição de interface com janela falsa e injeção de códigos maliciosos em apps legítimos.
Antes de mais nada, vamos entender o porquê desses ataques serem perigosos.
Vetores potenciais de ataque
Rooting
No modo de operação padrão, todos os apps Android armazenam dados, o que inclui logins, senhas e outras informações, em seções isoladas de memória inacessíveis a outros aplicativos. O Rooting interrompe esse mecanismo de segurança: com esse nível de acesso, um aplicativo malicioso pode colocar as mãos em dados armazenados em outros e roubá-los.
Muitos malwares utilizam esse recurso. Por volta de 30% dos vírus para Android usam vulnerabilidades do sistema operacional para realizar essa ação. Além disso, muitos usuários tornam o trabalho dos vírus ainda mais fácil ao realizar o rooting em seus dispositivos voluntariamente – algo que não recomendamos a menos que você tenha 100% de certeza acerca de como proteger seu tablet ou smartphone sob essas condições.
Sobreposição de interface de aplicativos
Esse truque é bem simples. O malware fica de olho nos aplicativos usados pelo usuário. No momento em que um programa conhecido pelo malware é aberto, o vírus sobrepõe a janela com uma similar (ou idêntica). O processo é instantâneo, de modo que o usuário não tem qualquer chance de suspeitar.
Então, conforme o usuário digita informações na janela falsa, pensando estar interagindo com um programa confiável, o malware rouba login, senhas, números de cartão de crédito e outras informações.
Esse subterfúgio está incluso no arsenal padrão de mobile banking Trojans. Porém, a palavra “banking” não é mais obrigatória nessa combinação: os criadores desses tipos de ameaça excederam a coleta de dados para muito além dos programas destinados a instituições bancárias, e criam janelas falsas para outros nos quais os usuários digitam números de cartão de crédito ou outras informações de interesse.
A lista de programas é longa: vários sistemas de pagamento e de mensagem, de compra de passagens e reserva de hospedagem, a Google Play e Android Pay, aplicativos de pagamento de multas, entre outros. Recentemente, os criadores de um Trojan começaram a roubar informações de pagamento de aplicativos de serviços de táxis.
Injeção de malware
Hackers também podem pegar um aplicativo legítimo, entender como ele funciona, inserir códigos maliciosos em sua estrutura, preservando a função original do programa. A partir daí o espalham pela Google Play ou outros canais (em particular, por meio de anúncios maliciosos no Google AdSense).
Para evitar esse tipo de ocorrência, desenvolvedores têm de garantir que a utilização de engenharia reversa para inserção de códigos maliciosos em seus aplicativos seja trabalhosa o bastante para não se tornar lucrativa. Para fortalecê-los, são usadas técnicas bastante conhecidas; em um mundo perfeito, deveriam ser aplicadas a todos os produtos que demandem dados sensíveis, infelizmente, a realidade é bem diferente, isso nem sempre ocorre.
A ameaça principal
Por meio dos métodos supracitados, aplicativos maliciosos podem roubar nomes de usuário e senhas. O mesmo se aplica para o número único de identificação de um veículo (VIN, na sigla em inglês), o qual é necessário para realizar a autenticação junto ao aplicativo.
Uma vez que criminosos obtêm essas informações, tudo que precisam é instalar o aplicativo correspondente em seu próprio smartphone. Com isso, serão capazes de destrancar portas (todos os programas possuem essa capacidade) ou até mesmo ligar o motor (o que nem todos fazem, apesar de ser bastante comum). Fora roubar ou monitorar os movimentos do dono.
Essa ameaça já saiu do campo da teoria. Fóruns da Darknet periodicamente exibem anúncios de venda e compra de informações de contas de aplicativos de carros conectados. Os preços para esse tipo de dados são bastante altos – muito maior do que o pago tipicamente por informações de cartão de crédito.
Cibercriminosos respondem rápido a novas oportunidades de ganhar dinheiro, por isso, o uso de malware contra carros conectados é questão de tempo.
Parte 1: 9 aplicativos para carros conectados, 0 protegidos contra malware
Quando a primeira parte da pesquisa foi publicada, no começo de 2017, especialistas verificaram nove aplicativos para Android desenvolvidos por grandes fabricantes de carros, e descobriram que nenhum desses possuía proteções contra as ameaças que discutimos.
Vou repetir: todos os nove aplicativos estudados eram vulneráveis aos ataques mais comuns.
Os especialistas da Kaspersky Lab naturalmente entraram em contato com os fabricantes automotivos correspondentes e relataram o problema antes de publicar os resultados.
Parte 2: 13 aplicativos para carros conectados, 1 protegido contra (alguns) malwares
É sempre interessante ver como os eventos se desenrolam. Portanto, há alguns dias, Mikhail Kuzin apresentou a segunda parte do relatório no IAA 2017, o show internacional de automóveis em Frankfurt.
O especialista adicionou quatro aplicativos à lista original e analisou todos, testando 13 no total. Apenas um dos novos estava protegido – e contra um dos três ataques (recusa-se a funcionar em dispositivos que passaram por rooting).
O pior: a nova inspeção mostrou que todos os nove originais permaneciam vulneráveis. Nos meses em que possuíam ciência do problema, os desenvolvedores não consertaram nada. Infelizmente, fabricantes de automóveis, apesar de todo o conhecimento e talento no que concerne a construção de carros, não possuem a experiência necessária para implementar cibersegurança adequadamente.
Eles não são os únicos. Esse problema é típico de fabricantes de outros eletrônicos inteligentes conectados. Com carros, esse problema parece mais urgente e sério; ciberataques poderiam resultar em perdas de centenas de milhares de dólares ou até mesmo colocar vidas em risco.
Felizmente, expertise em cibersegurança não precisa estar dentro da empresa, e você não tem de cometer os mesmos erros para conquistá-la. Ficamos mais do que satisfeitos em trabalhar com setor automotivo e ajudar a resolver os problemas com aplicativos e outras questões digitais.
Se você ficou incomodado com a possibilidade de seu smartphone ficar à mercê de malfeitores, deve instalar proteção confiável em seu dispositivo com objetivo de detectar e bloquear malwares antes que intercepte informações importantes.