Mobilne aplikacije za avtomobile niso dovolj računalniško varne!

Vse tovrstne aplikacije imajo (še vedno) varnostne težave, ki bi računalniškim nepridipravom lahko omogočile zlonamerne napade in posledično povzročile veliko škodo lastnikom tako povezanih avtomobilov.

Na daljavo lahko naredimo vedno več

V zadnjih nekaj letih so avtomobili vedno bolj računalniško in komunikacijsko povezani z drugimi napravami ali z internetom nasploh. Teh povezav je vedno več ne le v okviru avtomobilskih sistemov za obveščanje in zabavo (infotainment), temveč tudi znotraj nastajajočega interneta stvari.

Prek spleta, tudi s pametnimi telefoni in sorodnimi mobilnimi napravami, opremljenimi s pripadajočimi aplikacijami, lahko dostopamo do ključavnice, zaženemo vozilo, ugotovimo položaj vozila in spremljamo njegovo pot, upravljamo druge naprave v vozilu …

Slaba novica: mobilne aplikacije za avtomobile niso dovolj računalniško varne. Dobra novica: do zdaj še niso zaznali nobenega napada ali zlorabe tovrstnih sistemov. Nauk za avtomobilske proizvajalce: ni še prepozno za takojšnje ukrepanje. Foto: Thinkstock

Pod drobnogledom priljubljene aplikacije največjih avtomobilskih proizvajalcev

Kako varne so te aplikacije? Pri podjetju računalniške varnosti Kaspersky Lab so preizkusili sedem zelo priljubljenih aplikacij za oddaljen nadzor nad vozilom, ki so jih veliki avtomobilski proizvajalci razvili za mobilne naprave z operacijskim sistemom Android. Vsako od teh aplikacij je prek spletne tržnice Google Play preneslo več deset tisoč uporabnikov, nekatere tudi več kot pet milijonov.

Prav na vsaki so našli več varnostnih težav in pomanjkljivosti.

Katere varnostne težave so bile najresnejše?

Tovrstne aplikacije nimajo zaščitnih mehanizmov za preprečitev iskanja pomanjkljivosti v kodi, ki bi računalniškim nepridipravom omogočile dostop do ključnih komponent strežniške infrastrukture ali večpredstavnostnega sistema v vozilu, so ugotovili strokovnjaki računalniške varnosti. Prav tako ni zaščite pred tehnikami prekrivanja, ki zlonamernim aplikacijam omogočajo prikaz oken za ribarjenje in krajo uporabniških podatkov.

Velik udarec za zagotavljanje varnosti osebnih in uporabniških podatkov je, da se ti shranjujejo nekriptirano, kar preprosto povedno pomeni, da so prosto dostopni vsem.

Za uspešno izvedbo popolnega prevzema nadzora nad vozilom (tudi za krajo, onemogočanje alarmnega sistema ipd.) bi napadalec moral prelisičiti uporabnika, da bi ta dovolil prenos dodatnih namenskih aplikacij z dovoljenji, ki jih program za svoje redno delovanje sicer ne bi potreboval. Toda uporabniki prevečkrat brez premisleka in trezne presoje potrdijo vsako okno, ki se pojavi na zaslonu njihovih naprav.

Prav tako ni preverjanja celovitosti kode, kar kriminalcem omogoča vgraditev lastne kode v pristno aplikacijo ter celo zamenjavo izvirnega programa z lažnim in zlonamernim. Ne preverja se prisotnost korenskega dostopa, ki v napačnih rokah pomeni praktično neskončne možnosti zlorab, pristne aplikacije pa ostanejo povsem brez možnosti obrambe pred zlorabami, so še ugotovili.

Uporabniki se ne zavedajo, da nepridipravom pomagajo kar sami

Za uspešno izvedbo popolnega prevzema nadzora nad vozilom (tudi za krajo, onemogočanje alarmnega sistema ipd.) bi napadalec moral prelisičiti uporabnika, da bi ta dovolil prenos dodatnih namenskih aplikacij z dovoljenji, ki jih program za svoje redno delovanje sicer ne bi potreboval.

Izkušnje zunaj avtomobilskega sveta, torej pri drugih računalniških in mobilnih aplikacijah, dokazujejo, da to pravzaprav ni težko doseči, saj uporabniki preveč nepremišljeno in zlahka potrjujejo vsa mogoča pojavna okna, ki se jim prikažejo, še zatrjujejo pri družbi Kaspersky Lab.

V zadnjih nekaj letih so avtomobili vedno bolj računalniško in komunikacijsko povezani z drugimi napravami ali z internetom nasploh. Teh povezav je vedno več ne le v okviru avtomobilskih sistemov za obveščanje in zabavo (infotainment), temveč tudi znotraj nastajajočega interneta stvari. Foto: Thinkstock

Rešitev? Razvijalci naj dodelajo aplikacije, uporabniki pa pometejo pred svojim pragom!

Aplikacije za povezane avtomobile gotovo še niso tako dodelane, da bi preprečile napade računalniških zlohotnežev in kriminalcev, zato jih je gotovo treba še izboljšati. Avtomobilski proizvajalci bodo morali ubrati enako pot kot banke s svojimi aplikacijami. Te sprva prav tako niso imele vseh potrebnih varnostnih lastnosti, po številnih napadih pa so banke izboljšale njihovo varnost, so poudarili varnostni strokovnjaki po opravljenem pregledu aplikacij za oddaljeni nadzor vozil.

Obenem so z nekaj več optimizma ugotovili, da za zdaj še niso zaznali napadov na mobilne aplikacije za povezane avtomobile. To ne pomeni, da težava ne obstaja, temveč le, da je še nekaj časa za ustrezno ukrepanje, preden bo res prepozno.

Tudi uporabniki imajo svojo domačo nalogo: postati morajo odgovornejši in pozornejši pri uporabi sodobnih orodij in funkcij. Za začetek naj ne potrjujejo vsakega okna in vsake programske zahteve, ki se prikaže na zaslonu, če ni povsem jasno, zakaj je to potrebno.