Investigadores de Kaspersky Lab han examinado la seguridad de 13 aplicaciones para viajes compartidos por diferentes fabricantes de alrededor del mundo, incluyendo Rusia, EE.UU. y Europa. Los expertos de la compañía descubrieron que todas las aplicaciones contienen una serie de problemas de seguridad que pueden permitirle a los delincuentes tomar el control de los vehículos compartidos, ya sea sigilosamente o bajo la apariencia de otro usuario. Una vez que se obtiene el acceso a través de la aplicación, el criminal puede hacer casi cualquier cosa, desde robar el auto o su información, hasta causar daños o utilizarlo con fines maliciosos.
Apps de viajes compartidos vulnerables
Las aplicaciones se han diseñado para hacer más fáciles nuestras vidas y las transacciones más convenientes. Este concepto ha ido un paso más allá con el advenimiento de las aplicaciones para “compartir”, que hacen que todo, desde la entrega de alimentos, hasta compartir un taxi y un automóvil, sea una manera más económica de usar los servicios. Sin embargo, aunque las aplicaciones para compartir automóviles son invaluables para quienes tienen bajos ingresos y eliminan cualquier sobrepago por propiedad o mantenimiento de un vehículo, también pueden suponer un riesgo de seguridad, tanto para los fabricantes como para los usuarios.
Para conocer el alcance del problema, los investigadores de Kaspersky Lab probaron 13 aplicaciones de uso compartido de automóviles, desarrolladas por los principales fabricantes de diferentes mercados que, según las estadísticas de Google Play, se han descargado más de un millón de veces. La investigación descubrió que cada una de las aplicaciones examinadas contenía varios problemas de seguridad. Además, los investigadores descubrieron que los usuarios malintencionados ya están sacándole provecho a las cuentas robadas de aplicaciones de viajes compartidos.
La lista de vulnerabilidades de seguridad descubiertas incluye:
- Falta de defensa contra los ataques man-in-the-middle (MITM). Esto significa que aunque un usuario crea que está conectado a un sitio web legítimo, en realidad el tráfico está siendo redirigido a través del sitio del atacante, lo que le permite recopilar los datos personales ingresados por la víctima (nombre de usuario, contraseña, PIN, etc.)
- Falta de defensa contra la ingeniería inversa de la aplicación. Como resultado, un delincuente puede comprender cómo funciona la aplicación y encontrar una vulnerabilidad que le permita obtener acceso a la infraestructura del lado del servidor.
- Ausencia de técnicas de detección de rooting. Los derechos raíz (root) proporcionan a un usuario malintencionado posibilidades casi infinitas y dejan la aplicación indefensa.
- Falta de protección contra las técnicas de superposición de aplicaciones. Esto ayuda a las aplicaciones maliciosas a mostrar ventanas de suplantación de identidad y robar las credenciales de los usuarios.
- Menos de la mitad de las aplicaciones exigen contraseñas seguras de los usuarios, lo que significa que los delincuentes pueden atacar a la víctima en un caso simple de fuerza bruta.
Después de realizar un ataque exitoso, el delincuente puede obtener discretamente el control del automóvil y utilizarlo con fines maliciosos– desde viajar en el auto de forma gratuita y espiar a los usuarios, hasta robar el vehículo y su información, e incluso casos aún más graves como robar datos personales de los usuarios y venderlos en el mercado negro para obtener ganancias financieras. Esto podría llevar a que los delincuentes realicen movimientos ilegales y peligrosos en las carreteras bajo las identidades de otras personas.
“Nuestra investigación concluyó que, en su estado actual, las aplicaciones para servicios de viajes compartidos no están listas para soportar ataques de malware. Y aunque todavía no hemos detectado ningún caso de ataques avanzados contra este tipo de servicios, los cibercriminales comprenden el valor que tienen estas aplicaciones, y las ofertas existentes en el mercado negro apuntan al hecho de que los proveedores no tienen mucho tiempo para eliminar las vulnerabilidades”, dijo Victor Chebyshev, experto en seguridad en Kaspersky Lab.
Los investigadores de Kaspersky Lab aconsejan a los usuarios de aplicaciones de uso compartido en vehículos que sigan estas medidas para proteger sus automóviles y sus datos privados contra posibles ataques cibernéticos:
- No acceda al root de su dispositivo Android, ya que esto abrirá posibilidades casi ilimitadas a las aplicaciones maliciosas
- Mantenga actualizada la versión del sistema operativo de su dispositivo para reducir las vulnerabilidades en el software y disminuir el riesgo de ataque
- Instale una solución de seguridad probada para proteger su dispositivo contra ataques cibernéticos.
Para más información sobre la amenaza que representa el uso compartido de automóviles, lea: https://securelist.com/a-study-of-car-sharing-apps/86948/