Специалисты "Лаборатории Касперского" проанализировали 69 сторонних мобильных приложений для подключённых к интернету автомобилей и определили основные угрозы, с которыми могут столкнуться водители при их использовании. Эксперты обнаружили, что более половины (58%) таких программ, используя учётные данные автовладельцев, не предупреждают о возможных угрозах конфиденциальности. В пятёрку автомобильных марок, управление которыми чаще всего предлагают сторонние приложения, входят Tesla, Nissan, Renault, Ford и Volkswagen.
Риски использования мобильных приложений
Мобильные приложения для подключённых автомобилей позволяют водителям удалённо управлять средством передвижения, например дистанционно запускать двигатель, запирать или отпирать двери, обогревать салон. У большинства автомобильных брендов есть собственные приложения, но сторонние приложения имеют свои преимущества для водителей, так как предлагают другой дизайн или дополнительные функции.
Чтобы обезопасить данные, некоторые разработчики сторонних приложений предлагают использовать уникальный программный ключ, используемый для авторизации (токен авторизации) вместо имени пользователя и пароля. Однако, если такой токен окажется скомпрометирован, злоумышленники смогут получить доступ к автомобилю пользователя точно так же, как если бы они использовали обычные учётные данные. Таким образом, токены авторизации не обеспечивают полной безопасности, а автовладелец рискует потерять контроль над своей машиной. При этом только 19% разработчиков говорят о рисках открыто, не пытаясь завуалировать информацию с помощью мелкого шрифта.
Также в "Лаборатории Касперского" обнаружили, что в каждом седьмом (14%) приложении нет информации о том, как связаться с разработчиками или оставить отзыв. Это исключает возможность сообщить о проблеме или запросить дополнительную информацию. Отсутствие контактной информации может быть связано с тем, что часто подобные приложения разрабатывают энтузиасты, которые, в отличие от официальных производителей автомобилей, не обязаны заботиться о сохранности данных своих пользователей.
Эксперты "Лаборатории Касперского" также отмечают, что 46 из 69 приложений либо являются бесплатными, либо предлагают попробовать деморежим. Этот факт в сочетании с количеством скачиваний — только из Google Play их установили более 230 тысяч раз — даёт представление о том, сколько автовладельцев потенциально могли открыть для злоумышленников возможность доступа к своим автомобилям.
— К сожалению, не все разработчики ответственно подходят к хранению и сбору персональных данных и не защищают личную информацию пользователей должным образом. Данные могут оказаться в руках злоумышленников. Если у них есть доступ к учётной записи и автомобилю пользователя, то при худшем сценарии это может нести опасность для жизни человека. Мы призываем разработчиков приложений включить защиту пользователей в список своих приоритетов и принять меры предосторожности, чтобы не подвергать риску своих клиентов и самих себя, — комментирует Сергей Зорин, глава департамента транспортных систем в "Лаборатории Касперского".
Рекомендации
- загружать приложения только из официальных магазинов. Это тоже может быть не безопасно, но представители официальных магазинов по крайней мере проводят проверку и фильтрацию;
- проверять, какие доступы вы предоставляете приложениям, особенно когда речь идёт об Accessibility Services (функция "Специальные возможности" на Android). Например, приложению "Фонарик" нужен доступ только к светодиоду на тыльной стороне устройства, но никак не к контактам пользователя;
- использовать надёжное защитное решение, которое умеет обнаруживать вредоносное и рекламное ПО до того, как они нанесут вред вашему устройству;
- регулярно обновлять операционную систему и всё используемое программное обеспечение. Многие проблемы безопасности можно решить, установив обновлённые версии ПО.
Материалы по теме:
Мобильные троянцы-вымогатели атаковали Казахстан
Злоумышленники используют новые тактики для кражи учётных записей из сетей АСУ
Большинство пользователей в мире считают недопустимой цифровую слежку за своими партнёрами
Любое использование материалов допускается только при наличии гиперссылки на cronos.asia.
Подписывайтесь на Telegram-канал Central Asia Cronos и первыми получайте актуальную информацию!