As aplicações móveis para automóveis oferecem uma ampla gama de funções que facilitam a vida dos condutores. Aplicações que permitem o controlo remoto dos veículos, abrir ou fechar portas, ajustar a climatização e mesmo ligar ou desligar o motor. Muitas das aplicações são fornecidas pelos fabricantes de automóveis mas também há aplicações (apps) de terceiros são muito populares entre os utilizadores, que oferecem diversas funcionalidades que ainda não foram introduzidas pelas marcas oficiais.
A empresa de cibersegurança Kaspersky analisou 69 apps de terceiros, concebidas para automóveis conectados, que incluem quase todas as marcas principais de veículos, como a Tesla, Nissan, Renault, Ford e Volkswagen. Os especialistas identificaram os principais riscos de privacidade enfrentados pelos utilizadores e verificaram que mais de metade das aplicações, ou seja, 58% não alertam para os riscos de utilizar a conta de proprietário do serviço original do fabricante de automóveis.
Alguns programadores aconselham utilizar o token de autorização em vez de um nome de utilizador e uma palavra-passe de modo a parecer mais credível. Contudo, se o token estiver comprometido, os cibercriminosos podem aceder aos carros da mesma maneira que o fariam se tivessem as credenciais das vítimas. Significa isto que o risco de perder o controlo dos veículos continua elevado. Ainda assim, apenas 19% dos fabricantes mencionam ou advertem para este risco.
O relatório revela ainda que 1 em cada 7, ou 14% das aplicações não fornece detalhes de contacto do fabricante, o que faz com que seja impossível reportar possíveis erros ou pedir mais informação sobre a política de privacidade. Isto demonstra que a maioria destas aplicações não são desenvolvidas por empresas não profissionais, o que a Kaspersky considera não ser necessariamente mau, mas significa, por norma, que a preocupação com a segurança dos veículos e da informação é um pouco menor do que seria se se tratasse de uma app do respetivo fabricante.
Os especialistas da Kaspersky chamam a atenção para a importância de destacar que 46 das 69 aplicações analisadas são gratuitas ou oferecem uma versão experimental, o que explica os mais de 239.000 downloads na Google Play Store. Isto mostra que as pessoas desconhecem os riscos de permitirem que desconhecidos acedam aos seus veículos.
“Os benefícios de um mundo conectado são incontáveis. Contudo, há que ter em conta que se trata de uma indústria em desenvolvimento e, como tal, existem certos riscos. Ao descarregar uma aplicação de um terceiro para controlar remotamente o seu carro, é importante que os utilizadores estejam conscientes das ameaças. Confiamos muita informação privada e dados pessoais à tecnologia conectada. Infelizmente, nem todos os programadores adotam uma atitude responsável na hora de armazenar e recolher dados, o que faz com que os utilizadores exponham a sua informação pessoal. Estes dados podem ser vendidos da “darkweb” e ir parar a mãos pouco fiáveis. Os cibercriminosos podem não só roubar dados e credenciais pessoais, como conseguem também aceder ao veículo, dando lugar a situações perigosas para a integridade física. Por estas razões, instamos os programadores de aplicações a priorizar a proteção do utilizador e a tomar medidas para evitar comprometer os seus clientes e a si próprios”, comentou Sergey Zorin, responsável de cibersegurança da Kaspersky.
Os especialistas da Kaspersky recomendam aos utilizadores:
- Descarregar apenas aplicações de fontes oficiais como Apple App Store, Google Play ou Amazon Appstore. Apesar de não serem 100% seguras, nestas plataformas, as aplicações são revistas e filtradas.
- Analisar e ser crítico em relação às permissões das aplicações e pensar bem antes de autorizar algo, especialmente quando se trata de permissões de alto risco, como é o caso dos Serviços de Acessibilidade. Por exemplo, a única permissão que uma app de uma lanterna precisa é a que permite aceder à funcionalidade da lanterna.
- Adotar uma solução de segurança fiável para deteção das aplicações maliciosas e adware antes que seja possível atacar o dispositivo.
- Atualizar o sistema operativo e todo o software com regularidade. Muitos problemas de segurança podem resolver-se seguindo este simples passo.
As recomendações para os programadores são as seguintes:
- Adotar soluções que protejam o processo de desenvolvimento de software, monitorizando as aplicações aquando da sua execução, realizando scans às possíveis vulnerabilidades, bem como análises regulares de segurança. Uma vez que os ataques à cadeia de abastecimento através de repositórios públicos são cada vez mais frequentes, o processo de desenvolvimento de aplicações necessita de uma maior proteção contra interferências externas.
- Utilizar soluções especializadas. A solução Kaspersky Hybrid Cloud Security contempla as necessidades de segurança dos programadores, na medida em que protege contentores Docker e Windows e oferece uma abordagem de “segurança como código”, com proteção da memória do anfitrião ou digitalização de imagens e interfaces. Desta forma, é possível integrar tarefas de segurança em condutas CI/CD sem afetar o processo de desenvolvimento.
- Implementar mecanismos de proteção na aplicação. A solução Kaspersky Mobile SDK garante proteção de dados aos clientes, bem como deteção de malware, conectividade segura e muito mais.