Cómodas, rápidas e eficientes, as aplicações, ou simplesmente apps, são a forma mais fácil de aceder a serviços, informações e fazer pagamentos online, sobretudo quando instalados em dispositivos móveis, como tablets e smartphones. Sempre é mais conveniente usar uma app do que ter de aceder a um site, sobretudo quando não estamos diante de um computador. O melhor exemplo da sua utilidade é o car sharing, permitindo gerir a partilha de automóvel instantaneamente através do ecrã do telemóvel. Na evolução que a vida urbana, a partilha de veículo tem ganho um espaço considerável, aliviando utilizadores dos custos inerentes à sua propriedade – como compra, manutenção, seguros e impostos. E o car sharing é particularmente útil para quem apenas tem necessidades esporádicas de deslocação.
O perigo espreita
Contudo, o uso de apps de car sharing acarreta os seus perigos, quer para operadores, quer para utilizadores, segundo um estudo levado a cabo pela Kaspersky Lab. Investigadores daquela empresa de software de segurança para a Internet escolheram 13 aplicações de car sharing, desenvolvidas por grandes fabricantes de diferentes mercados, e que, de acordo com as estatísticas do Google Play, foram transferidas mais de um milhão de vezes. Este estudo revelou que cada uma das aplicações examinadas continha vários riscos de segurança. A par disso, foram detetados utilizadores maliciosos que monitorizavam várias contas roubadas de aplicações de car sharing…
O perigo em torno deste género de apps é potenciado pelo facto de consumidores europeus não considerarem as aplicações de partilha como uma ameaça – segundo outro estudo também levado a cabo pela empresa russa –, sobretudo em comparação com outro tipo de apps, como as de redes sociais, de mensagens ou de operações bancárias. Menos de 10% dos inquiridos considerou as apps de partilha como inseguras.
Os técnicos da Kaspersky Lab listaram como principais vulnerabilidades:
– Falta de proteção contra ataques man-in-the-middle. Apesar de o utilizador estar ligado a um website legítimo, o tráfego pode ser redirecionado através de um site de um hacker, permitindo a este recolher dados pessoais que o utilizador tenha inserido na app, como login, palavra-passe, PIN, etc.;– Inexistência de defesas contra aplicações de desencriptação, conhecido como reverse engineering. Isto permite a um hacker perceber como está estruturada a aplicação e detetar uma vulnerabilidade que lhe dará acesso à infraestrutura do servidor;
– Falta de técnicas de deteção de rooting. Permissões de acesso à root proporcionam a um hacker inúmeras possibilidades de atuação, deixando a aplicação sem proteção;
– Falta de proteção contra ataques de sobreposição de aplicações. Isto permite que apps maliciosas apresentem janelas de phishing e roubem as credenciais dos utilizadores;
– Para facilitar ainda mais a tarefa aos hackers, menos de metade das apps obrigam à criação de palavras-passe ‘fortes’ por parte dos utilizadores, o que permite aos criminosos o acesso por técnicas de insistência ou ‘força bruta’.
Viagens gratuitas por parte do hacker serão o cenário menos preocupante resultante da violação de uma app. Espiar um utilizador, a venda dos seus dados no mercado negro ou a utilização do veículo para atos ilegais são contextos bem mais dramáticos, mais a mais que tudo é feito discretamente, e a responsabilidade, em primeira análise, recai sobre o utilizador.
Viagens gratuitas por parte do hacker serão o cenário menos preocupante resultante da violação de uma app
Os técnicos da Kaspersky Lab traçam um cenário inquietante: atualmente, as aplicações de serviços de car sharing não estão preparadas para suportar ataques de malware. E, apesar de até à data não ter sido detetado nenhum ataque sofisticado contra estes serviços, os hackers estão cientes do potencial valor inerente a estas aplicações e são por norma muito criativos…
O conselho deixado pelos investigadores russos aos utilizadores destes serviços é aplicar algumas medidas simples de forma a protegerem a sua informação pessoal, bem como os automóveis, contra possíveis ciberataques, tais como:
– Não garantir permissões root ao dispositivo Android, uma vez que estas abrem as portas a uma quantidade quase ilimitada de aplicações maliciosas;
– Instalar uma solução de segurança para proteger o dispositivo de ciberataques.
Percorra a galeria de imagens acima clicando sobre as setas.
