Ευάλωτες σε ψηφιακές επιθέσεις οι car sharing εφαρμογές
Στη διαπίστωση ότι οι εφαρμογές για υπηρεσίες car sharing δεν είναι έτοιμες να αντέξουν τις επιθέσεις κακόβουλου λογισμικού καταλήγουν οι ερευνητές. Οι εν λόγω εφαρμογές, που είτε είναι ήδη είτε γίνονται δημοφιλείς παγκοσμίως αποδεικνύονται, σύμφωνα με τις αναλύσεις, ευάλωτες σε ψηφιακές επιθέσεις. Οι ερευνητές της Kaspersky Lab εξέτασαν την ασφάλεια 13 car sharing εφαρμογών (κοινής χρήσης αυτοκινήτων) από κατασκευαστές οικιακών συσκευών παγκοσμίως - συμπεριλαμβανομένων κατασκευαστών από Ρωσία, ΗΠΑ και Ευρώπη. Οι ειδικοί της εταιρείας ανακάλυψαν ότι όλες οι εφαρμογές περιέχουν μια σειρά ζητημάτων ασφάλειας, που μπορούν να επιτρέψουν στους εγκληματίες να πάρουν τον έλεγχο των κοινόχρηστων οχημάτων, είτε με μυστικότητα είτε με το πρόσχημα ενός άλλου χρήστη. Μόλις αποκτηθεί πρόσβαση μέσω της εφαρμογής, ένας εγκληματίας μπορεί να κάνει σχεδόν οτιδήποτε - από την κλοπή ενός οχήματος ή των λεπτομερειών του μέχρι την πρόκληση ζημιάς ή της χρήσης του για κακόβουλους σκοπούς. Αυτό είναι ιδιαίτερα ανησυχητικό, καθώς πρόσφατη έρευνα της Kaspersky Lab σχετικά με τη στάση των χρηστών απέναντι στην ασφάλεια των εφαρμογών, έδειξε ότι οι Ευρωπαίοι δεν βλέπουν τις εφαρμογές κοινής χρήσης αυτοκινήτων ως απειλή σε σύγκριση με άλλες εφαρμογές, όπως τα μέσα κοινωνικής δικτύωσης, οι υπηρεσίες ανταλλαγής άμεσων μηνυμάτων και οι τραπεζικές εφαρμογές, με λιγότερο από το 10% των ερωτηθέντων να έχουν βαθμολογήσει τις car sharing εφαρμογές ως αναξιόπιστες.
Έρευνα
Οι εφαρμογές για υπηρεσίες car sharing δεν είναι έτοιμες να αντέξουν τις επιθέσεις κακόβουλου λογισμικούΓια να διαπιστώσουν την έκταση του προβλήματος, οι ερευνητές εξέτασαν 13 εφαρμογές car sharing, που αναπτύχθηκαν από μεγάλους κατασκευαστές από διαφορετικές αγορές, οι οποίες - σύμφωνα με τα στατιστικά στοιχεία του Google Play - έχουν ληφθεί πάνω από 1 εκατομμύριο φορές. Η έρευνα διαπίστωσε ότι κάθε μια από τις εφαρμογές που εξετάστηκαν περιείχε διάφορα ζητήματα ασφάλειας. Επιπλέον, οι ερευνητές διαπίστωσαν ότι κακόβουλοι χρήστες ήδη αξιοποιούν κλεμμένους λογαριασμούς για εφαρμογές car sharing. “Ενώ οι εφαρμογές car sharing είναι ανεκτίμητες για όσους έχουν χαμηλό εισόδημα και απομακρύνουν κάθε υπερπληρωμή ιδιοκτησίας ή συντήρηση οχημάτων, μπορούν επίσης να προσθέσουν έναν κίνδυνο ασφάλειας τόσο για τους κατασκευαστές όσο και για τους χρήστες” αναφέρει σε σχετική ανάλυσή της η Kaspersky Lab.
Αδυναμίες
Στη λίστα των αδυναμιών ασφάλειας που εντοπίστηκαν περιλαμβάνονται τα εξής: -Δεν υπάρχει άμυνα ενάντια στις επιθέσεις τύπου man-in-the-middle. Αυτό σημαίνει ότι ενώ ένας χρήστης πιστεύει ότι είναι συνδεδεμένος σε έναν νόμιμο ιστότοπο, η κυκλοφορία στην πραγματικότητα διοχετεύεται ξανά μέσω του ιστότοπου του εισβολέα, επιτρέποντάς του να συλλέξει τυχόν προσωπικά δεδομένα που εισήγαγε το θύμα (login, κωδικούς, PIN). -Δεν υπάρχει άμυνα εναντίον αντίστροφης μηχανικής εφαρμογών. Αυτό έχει ως αποτέλεσμα, ένας εγκληματίας να μπορεί να κατανοήσει πώς λειτουργεί η εφαρμογή και να βρει μια ευπάθεια που θα του επιτρέπει να αποκτήσει πρόσβαση σε υποδομή του server. -Δεν υπάρχουν τεχνικές ανίχνευσης rooting. Τα δικαιώματα root παρέχουν σε έναν κακόβουλο χρήστη σχεδόν ατελείωτες δυνατότητες και αφήνουν την εφαρμογή ανυπεράσπιστη. -Έλλειψη προστασίας από τεχνικές επικάλυψης εφαρμογών. Αυτό βοηθάει τις κακόβουλες εφαρμογές να εμφανίζουν παράθυρα phishing και να κλέβουν τα στοιχεία σύνδεσης των χρηστών. -Λιγότερες από τις μισές εφαρμογές απαιτούν ισχυρούς κωδικούς πρόσβασης από τους χρήστες, γεγονός που σημαίνει ότι οι εγκληματίες μπορούν να επιτεθούν στο θύμα μέσω ενός απλού σεναρίου brute force.