Los analistas de Kaspersky Lab han analizado la seguridad de 13 aplicaciones de carsharing de proveedores de todo el mundo, Europa, Estados Unidos y Rusia incluidos. Los expertos de la compañía descubrieron que todas las aplicaciones contienen una serie de problemas de seguridad que potencialmente pueden permitir a los cibercriminales tomar el control de los vehículos compartidos, ya sea de modo encubierto o bajo la apariencia de otro usuario.
Las aplicaciones están diseñadas para hacer nuestras vidas y transacciones más fáciles. Este planteamiento ha ido un paso más allá gracias a la llegada de las apps de uso compartido que sirven para todo, desde reparto de comida a domicilio, a compartir taxi y automóvil como método más adecuado para disfrutar de ciertos servicios. Sin embargo, aunque las aplicaciones para compartir automóviles tienen ventajas muy interesantes para los usuarios y eliminan cualquier sobrecoste de propiedad o mantenimiento, también tienen riesgos de seguridad tanto para los fabricantes como para los usuarios.
Para conocer el alcance del problema, los analistas de Kaspersky Lab probaron 13 aplicaciones de carsharing, desarrolladas por los principales fabricantes de diferentes mercados y que, según las estadísticas de Google Play, ya se han descargado en más de un millón de ocasiones. La investigación reveló que cada una de las apps examinadas tenía varios problemas de seguridad. Los analistas descubrieron también que los criminales ya están utilizando cuentas robadas de estas aplicaciones.
Los analistas de Kaspersky Lab probaron 13 aplicaciones de carsharing, desarrolladas por los principales fabricantes de diferentes mercados
Esto es especialmente preocupante ya que, estudios recientes de Kaspersky Lab sobre las actitudes de los consumidores hacia la seguridad de las aplicaciones, mostraron que los europeos no perciben las aplicaciones de carsharing como una amenaza en comparación con otras apps, como redes sociales, mensajería y banca electrónica. Tan solo el 10% de los encuestados en España calificaron estas aplicaciones como poco fiables.
La lista de vulnerabilidades de seguridad descubiertas incluye:
- Sin protección frente ataques del tipo “man-in-the-middle”. Esto significa que, mientras un usuario cree que está conectado a un sitio web legítimo, el tráfico en realidad se redirige a través del sitio del atacante, permitiendo recopilar los datos personales introducidos por la víctima (nombre usuario, contraseña, PIN, etc.).
- Sin protección contra aplicaciones de ingeniería inversa. Como resultado, un ciberdelincuente puede entender cómo funciona la aplicación y encontrar una vulnerabilidad que le permita acceder a la infraestructura server-side.
- Ausencia de técnicas de detección de rooteo. Los derechos de rooteo proporcionan a un usuario malintencionado facultades casi infinitas y dejan la aplicación indefensa.
- Ausencia de protección contra técnicas de superposición de aplicaciones. Esto ayuda a las aplicaciones maliciosas a mostrar ventanas de suplantación de identidad y robar las credenciales de usuarios.
- Menos de la mitad de las aplicaciones exigen a los usuarios que usen contraseñas fuertes, lo que significa que los delincuentes pueden atacar a la víctima a través de un escenario de fuerza bruta.
Después de tener éxito en su exploit, un ciberatacante puede hacerse discretamente con el control del automóvil y utilizarlo con fines maliciosos, desde espiar a los usuarios, hasta robar el vehículo y sus detalles, e incluso otros escenarios como robar datos personales de los usuarios venderlos en el mercado negro para obtener ganancias económicas. Esto podría llevar a ciertos delincuentes a realizar movimientos ilegales y peligrosos en las carreteras bajo la identidad de otras personas.
El estudio concluye que, en su estado actual, las aplicaciones para servicios de carsharing no están preparadas para soportar ataques de malware. Y aunque todavía no se ha detectado ningún caso de ataques sofisticados contra este tipo de servicios, los cibercriminales conocen perfectamente el valor que tienen estas aplicaciones, y las ofertas existentes en el mercado negro avisan que los proveedores no cuentan con mucho tiempo para eliminar las vulnerabilidades.