Android apps van grote autofabrikanten maken auto’s kwetsbaar
De auto met internetfunctionaliteit is de laatste jaren in opmars. Deze online-connectiviteit betreft niet alleen infotainmentsystemen, maar ook belangrijke voertuigsystemen als deursloten en ontsteking. Het is nu mogelijk om, met behulp van mobiele applicaties, de precieze locatie van het voertuig vast te stellen, de portieren te openen, de motor te starten en devices in de auto te bedienen. Aan de ene kant zijn dit zeer nuttige functies, maar er is ook een andere kant: hoe wapenen autofabrikanten deze apps tegen cyberaanvallen?
Om dit uit te vinden, hebben onderzoekers van Kaspersky Lab van zeven grote autofabrikanten de applicaties voor het op afstand bedienen van hun auto’s getest. Het gaat in alle gevallen om apps die volgens de statistieken van Google Play minstens tienduizenden keren zijn gedownload, in enkele gevallen zelfs vijfmiljoen keer. Het onderzoek heeft uitgewezen dat alle onderzochte apps te maken hebben met veiligheidsvraagstukken.
De lijst van vastgestelde beveiligingsproblemen omvat:
- Geen bescherming tegen application reverse engineering. Als gevolg hiervan kunnen kwaadwillende gebruikers uitvinden hoe de app functioneert en zwakke plekken opsporen die hen in staat stellen om toegang te krijgen tot server-side-infrastructuur of het multimediasysteem van de auto.
- Geen code integrity check, wat cruciaal is omdat het criminelen in staat stelt hun eigen code in de app te verwerken en het originele programma te vervangen door een nepversie.
- Geen rooting-detectiontechnieken. Root-rechten bieden Trojans bijna eindeloze mogelijkheden en maken de app weerloos.
- Onvoldoende bescherming tegen app-overlayingtechnieken. Dit biedt kwaadaardige apps mogelijkheden tot phishing en diefstal van gebruikersgegevens.
- Opslag van gebruikersnamen en wachtwoorden in platte tekst. Een dergelijke zwakke plek maakt het eenvoudig om gebruikersgegevens te stelen.
Na de succesvolle exploitatie van een van deze kwetsbaarheden, kan een crimineel de portieren ontgrendelen, het alarm uitschakelen en, in theorie, de auto stelen.
Voor meer informatie over de risico’s van auto’s met internetfunctionaliteit kun je de blogpost op Securelist.com lezen.