Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах
IDG  •  PC World  •  Computerworld  •  CIO  •  CFO  •  Networkworld  •  Дискусии  •  Кариерна зона  •  Събития
COMPUTERWORLD | Автомобили
18 фев
2017
 
 

Незащитени Android приложения застрашават свързаните коли

Приложенията не разполагат със защита срещу зловредни кодове, стартирани на мобилни устройства.

2493 прочитания, 0 коментара

Владимир Владков

Android приложения, които позволяват на милиони собственици на коли отдалечено да откриват и отключват своите автомобили, не разполагат със защитни функции, които да ги предпазят от атаките на хакери.

Все повече коли се сдобиват с интелигентни функции, разчитат на връзка с нови приложения, но дали защитата е на ниво?

Прочетете още: 5G тест: Широколентова 3,6 Gbps връзка при шофиране със 170 км/ч

Изследователи от антивирусния доставчик Kaspersky Lab са разгледали 7 от най-популярните Android приложения, които се доставят със свързаните коли от няколко големи автомобилни производители, и са ги анализирали от гледна точка на компрометирано Android устройство. Приложенията и самите автомобилни производители обаче не са посочени (някои лога могат да бъдат разпознати въпреки замъгляването. Kaspersky обаче твърдят, че вече са предупредили производителите).

Изследователите са разгледали възможността подобни приложения да използват някои от наличните контрамерки, които биха ги защитили срещу превземането им от хакери, когато устройствата са били заразени вече с вирус. Други типове приложения като тези за мобилно банкиране вече разполагат с подобна защита.

Анализът е разкрил, че нито едно от тестваните приложения не използват „объркване на кода“, което да затрудни евентуални нападатели да осъществен обратен инженеринг, а нито едно приложение не използва проверки за интегритет на кода, които да предпазят от зловредното му манипулиране.

Две приложения не криптират исканите име и парола за оторизация, които се съхраняват локално, а 4 пък криптират само паролата. Нито едно от приложенията не проверяват дали устройствата, върху които са стартирани, са в режим на суперадминистратор, което би показало, че те не са сигурни и е възможно вече да са компрометирани.

И накрая, нито едно от тестваните приложения не използва допълнителна защита, която да попречи на други приложения да рисуват върху техните екрани. Има зловредни приложения, които се представят за фалшиви екрани за логване върху други приложения, опитвайки се да заблудят потребителите да въведат своето име и парола.

Въпреки че компрометираните приложения за свързани коли може да не доведе до директно кражба, те могат да улеснят бъдещи измамници. Повечето подобни приложения или имената и паролите, които те съхраняват, могат да се използват за отдалечено отключване на колата и изключване на алармата.

„Рисковете не трябва да бъдат свързани само с кражбата на кола, казват изследователи на Kaspersky в блога си. - Достъпът до колата и умишлената намеса в нейни елементи може да доведе до пътни инциденти, наранявания, дори смърт.“

Производителите се надпреварват да добавят интелигентни функции към своите модели, с които да подобрят изживяванията на потребителите, като в същото време се фокусират повече върху защитата на опорната инфраструктура и комуникационните канали. Изследователите на Kaspersky обаче предупреждават, че програмният код в клиентските устройства, като придружаващите свързаната кола мобилни приложения, не трябва да бъдат игнорирани, тъй като са много лесна мишена за нападателите и са най-вероятният уязвим вход.

„Използвайки частни затворени мобилни приложения е възможно да се засекат GPS координатите на колата, да се проследи нейния маршрут, да бъдат отворени вратите й, да се запали двигателя, да се задействат допълнителните й устройства. От една страна, това са много полезни функции, използвани от милиони хора, но от друга, ако автокрадец поличи достъп до мобилното устройство на жертва, в което е инсталирано приложението, то кражбата на колата вече е въпрос на време“, обясняват анализаторите.

Като доста скъпа придобивка, колата изисква същия подход към сигурността, какъвто се използва при защита на банкова сметка, коментират анализаторите.

НАЙ-НОВИ НАЙ-ЧЕТЕНИ ПРЕПОРЪЧАНИ
Фирмите представят

Слайдшоу
ИНТЕРВЮ
Тод Англин, Progress:  София има страхотна общност от софтуерни разработчициТод Англин, Progress: София има страхотна общност от софтуерни разработчици

Конференцията DevReach се завръща в София, има месец до събитието, а всички билети вече са разпродадени, коментира главният евангелист на Progress.

ПРИЛОЖЕНИЯ
АНКЕТА

Какво мислите за FireFox OS?

Информация за Вас