Le applicazioni sono progettate per semplificare la vita degli utenti e rendere le transazioni più convenienti. Questo concetto è diventato e si è evoluto con la comparsa della condivisione delle applicazioni (“sharing“), che rende diversi servizi – come la consegna di una pizza o il car sharing – meno costosi e più efficienti.
Ma mentre le applicazioni di car sharing sono inaccessibili per i clienti a basso reddito o che non non gradiscono spendere molto – dal momento che eliminano la necessità di pagare per un veicolo e la sua manutenzione – sono allo stesso tempo un fattore di rischio per i suoi utenti e produttori.
Per comprendere l’entità del problema, i ricercatori di Kaspersky Lab hanno testato 13 applicazioni di car-sharing, sviluppate da importanti produttori in diversi mercati e che, secondo le statistiche di Google Play, sono state scaricate da più di un milione di volte. L’indagine ha rilevato che ciascuna delle domande esaminate conteneva un certo numero di rischi per la sicurezza. Inoltre, sono già stati rilevati utenti malintenzionati che monetizzano più account rubati dalle applicazioni di car sharing.
Questo è un rischio particolarmente preoccupante dal momento che una recente indagine di Kaspersky Lab sugli atteggiamenti dei consumatori nei confronti della sicurezza delle applicazioni ha rivelato che gli europei non considerano la condivisione delle applicazioni come una minaccia, soprattutto rispetto ad altre applicazioni come i social network, messaggi o servizi bancari. Meno del 10% degli intervistati ritiene che la condivisione di applicazioni non sia sicura.
L’elenco delle vulnerabilità scoperte include:
- La mancanza di difesa contro gli attacchi man-in-the-middle. Anche se l’utente è collegato a un sito Web legittimo, il traffico viene reindirizzato tramite il sito di un hacker, consentendogli di raccogliere i dati personali che la vittima ha inserito nell’applicazione (login, password, PIN, ecc.);
- La mancanza di difese contro il reverse engineering. Con questi attacchi, un hacker può vedere come è strutturata l’applicazione e rilevare una vulnerabilità che garantirà l’accesso all’infrastruttura del server;
- La mancanza di tecniche di rilevamento della fonte. Le autorizzazioni di accesso root offrono agli hacker capacità quasi infinite e lasciano l’applicazione indifesa;
- La mancanza di protezione contro le applicazioni che si sovrappongono agli attacchi. Ciò consente alle applicazioni dannose di visualizzare finestre di phishing e rubare le credenziali degli utenti;
- Inoltre, meno della metà delle applicazioni richiede una password utente forte, il che significa che gli hacker possono semplicemente attaccare le vittime attraverso uno scenario di forza;
- Dopo aver sfruttato con successo queste vulnerabilità, un hacker può acquisire discretamente il controllo dell’automobile e utilizzarla per scopi malevoli – dal semplice viaggio gratuito o spiare l’utente verso scenari più seri come il furto di informazioni e la vendita sul mercato nero. L’identità e il furto di veicoli consentono inoltre agli hacker di guidare illegalmente e pericolosamente sotto l’identità di un altro utente.
La ricerca di Kaspersky Lab ha rilevato che le attuali applicazioni di car sharing non sono pronte a resistere agli attacchi di malware. Sebbene non sia stato ancora rilevato alcun attacco sofisticato contro questi servizi, gli hacker sono consapevoli del valore attribuito a queste applicazioni e le offerte sul mercato nero rivelano che i fornitori non hanno molto tempo per rimuovere le vulnerabilità.
I ricercatori di Kaspersky Lab consigliano agli utenti di questi servizi di seguire alcuni semplici passaggi per proteggere le loro informazioni personali, così come le automobili, da possibili attacchi informatici:
- Non concedere le autorizzazioni di root al dispositivo Android, poiché apre la porta a un numero quasi illimitato di applicazioni dannose;
- Aggiornare il sistema operativo per ridurre le vulnerabilità del software e ridurre il rischio di un attacco;
- Installare una soluzione di sicurezza per proteggere il dispositivo dagli attacchi informatici.