Berta Sándor
Minden adatot kiadnak az autómegosztó alkalmazások
A biztonsági szakemberek cseppet sincsenek jó véleménnyel a gépkocsi-megosztó programokról.
A Kaspersky Lab szakértői számos biztonsági hibát fedeztek fel a vizsgált szoftverekben. A hiányosságoknak köszönhetően a támadók megszerezhetik az ellenőrzést a járművek felett, kikémlelhetik és vezethetik azokat, valamint ellophatják a felhasználók személyes adatait és eladhatják azokat a feketepiacon. Ezenkívül a kiberbűnözők egy másik személyazonosság mögé bújva illegális és veszélyes akciókat hajthatnak végre az utakon.
Az orosz biztonsági cég munkatársai 13 autómegosztó alkalmazást vizsgáltak meg, amelyek közös jellemzője az volt, hogy nagy gyártó fejlesztette ki azokat és a Google Play rendszerében több mint egymillió letöltést értek el. Az eredmény: mindegyik program több biztonsági hibát is tartalmazott. Nem voltak például védettek az úgynevezett Man-in-the-Middle támadásokkal szemben, amelyeknél a felhasználó ugyan azt hiszi, hogy egy valódi oldalt látogat meg, de az adatforgalmát a bűnözők honlapján keresztül vezetik keresztül, így minden megadott adatát (felhasználói név, jelszó, PIN-kód stb.) megszerezhetik.
A felhasználók nem védettek a Reverse Engineering módszerrel sem, amelynek segítségével a kiberbűnözők megtudhatják, hogyan működik egy szoftver és megtalálhatják annak a sebezhetőségeit, hogy hozzáférést szerezzenek a szerveroldali infrastruktúrához. A vizsgált termékek nem ismerték fel a rootolási eljárásokat sem. A rootjogok gyakorlatilag korlátlan lehetőségeket kínálnak és védtelenül hagyják az alkalmazásokat. Ráadásul a programok nem kínáltak védelmet az úgynevezett App-Overlay technikákkal szemben sem, amelyek segítségével a kártevők adathalász ablakokat mutathatnak és ellophatják az emberek bejelentkezési adatait. A helyzetet súlyosbítja, hogy a szoftverek kevesebb, mint a fele követeli meg erős jelszó használatát.
Viktor Csebisev, a Kaspersky Lab biztonsági szakértője kijelentette, hogy a kutatási eredményeik azt mutatják, hogy a gépkocsi-megosztó alkalmazások a jelenlegi állapotukban nem képesek ellenállni a támadásoknak. Ugyan ők eddig még nem jegyeztek fel ilyen akciókat, de a kiberbűnözők pontosan tudják, hogy ezek a megoldások mennyire értékesek. A biztonsági cég azt ajánlotta a felhasználóknak, hogy sose rootolják azokat a készülékeiket, amelyeken az autómegosztó programokat futtatják; tartsák naprakészen a használt mobil operációs rendszerüket, ezáltal lecsökkentve a sebezhetőségek kockázatát és alkalmazzanak megbízható mobil biztonsági megoldást (feltehetően a sajátjukra gondoltak).
A Kaspersky Lab szakértői számos biztonsági hibát fedeztek fel a vizsgált szoftverekben. A hiányosságoknak köszönhetően a támadók megszerezhetik az ellenőrzést a járművek felett, kikémlelhetik és vezethetik azokat, valamint ellophatják a felhasználók személyes adatait és eladhatják azokat a feketepiacon. Ezenkívül a kiberbűnözők egy másik személyazonosság mögé bújva illegális és veszélyes akciókat hajthatnak végre az utakon.
Az orosz biztonsági cég munkatársai 13 autómegosztó alkalmazást vizsgáltak meg, amelyek közös jellemzője az volt, hogy nagy gyártó fejlesztette ki azokat és a Google Play rendszerében több mint egymillió letöltést értek el. Az eredmény: mindegyik program több biztonsági hibát is tartalmazott. Nem voltak például védettek az úgynevezett Man-in-the-Middle támadásokkal szemben, amelyeknél a felhasználó ugyan azt hiszi, hogy egy valódi oldalt látogat meg, de az adatforgalmát a bűnözők honlapján keresztül vezetik keresztül, így minden megadott adatát (felhasználói név, jelszó, PIN-kód stb.) megszerezhetik.
A felhasználók nem védettek a Reverse Engineering módszerrel sem, amelynek segítségével a kiberbűnözők megtudhatják, hogyan működik egy szoftver és megtalálhatják annak a sebezhetőségeit, hogy hozzáférést szerezzenek a szerveroldali infrastruktúrához. A vizsgált termékek nem ismerték fel a rootolási eljárásokat sem. A rootjogok gyakorlatilag korlátlan lehetőségeket kínálnak és védtelenül hagyják az alkalmazásokat. Ráadásul a programok nem kínáltak védelmet az úgynevezett App-Overlay technikákkal szemben sem, amelyek segítségével a kártevők adathalász ablakokat mutathatnak és ellophatják az emberek bejelentkezési adatait. A helyzetet súlyosbítja, hogy a szoftverek kevesebb, mint a fele követeli meg erős jelszó használatát.
Viktor Csebisev, a Kaspersky Lab biztonsági szakértője kijelentette, hogy a kutatási eredményeik azt mutatják, hogy a gépkocsi-megosztó alkalmazások a jelenlegi állapotukban nem képesek ellenállni a támadásoknak. Ugyan ők eddig még nem jegyeztek fel ilyen akciókat, de a kiberbűnözők pontosan tudják, hogy ezek a megoldások mennyire értékesek. A biztonsági cég azt ajánlotta a felhasználóknak, hogy sose rootolják azokat a készülékeiket, amelyeken az autómegosztó programokat futtatják; tartsák naprakészen a használt mobil operációs rendszerüket, ezáltal lecsökkentve a sebezhetőségek kockázatát és alkalmazzanak megbízható mobil biztonsági megoldást (feltehetően a sajátjukra gondoltak).