Las apps de uso compartido de vehículos son vulnerables a ataques

  • Vulnerabilidades

Tras examinar 13 aplicaciones, los investigadores de Kaspersky encontraron fallos seguridad, incluida la falta de protección contra ataques man-in-the-middle o contra técnicas de superposición de aplicaciones. Los atacantes ya están aprovechando cuentas robadas de aplicaciones de uso compartido de vehículos.

También puedes leer...

DNS Security for Dummies

Diez capas de seguridad para contenedores

20 Casos de uso de CASB

Los riesgos de Blockchain

Diez consejos sobre la gestión de Bots

Los investigadores de Kaspersky Lab han examinado la seguridad de 13 aplicaciones de uso compartido de vehículos de Rusia, Estados Unidos y Europa. Pues bien, descubrieron que todas las aplicaciones contienen una serie de problemas de seguridad que pueden permitir a los delincuentes tomar el control de los vehículos compartidos, ya sea de manera sigilosa o bajo la apariencia de otro usuario. Una vez que se obtiene el acceso a través de la aplicación, un delincuente puede hacer casi cualquier cosa, desde robar el vehículo, hasta causar daños o utilizarlo con fines maliciosos.

Para conocer el alcance del problema, los investigadores de Kaspersky Lab probaron 13 aplicaciones desarrolladas por los principales fabricantes de diferentes mercados que, según las estadísticas de Google Play, se han descargado más de un millón de veces. La investigación descubrió que cada una de las aplicaciones examinadas contenía varios problemas de seguridad. Además, los investigadores descubrieron que los usuarios malintencionados ya están sacando provecho de las cuentas robadas de aplicaciones de uso compartido de automóviles.

La lista de vulnerabilidades de seguridad descubiertas incluye:

• Ninguna defensa contra ataques man-in-the-middle. Esto significa que mientras un usuario cree que está conectado a un sitio web legítimo, el tráfico en realidad se redirige a través del sitio del atacante, lo que le permite recopilar los datos personales introducidos la víctima.

• Ninguna defensa contra la ingeniería inversa de la aplicación. Como resultado, un delincuente puede comprender cómo funciona la aplicación y encontrar una vulnerabilidad que le permita tener acceso a la infraestructura del lado del servidor.

• Sin técnicas de detección de rooting. Los derechos root proporcionan a un usuario malintencionado capacidades casi infinitas y dejan la aplicación indefensa.

• Ninguna protección contra las técnicas de superposición de aplicaciones. Esto ayuda a las aplicaciones maliciosas a mostrar ventanas de suplantación de identidad y robar las credenciales de los usuarios

• Menos de la mitad de las aplicaciones exigen contraseñas seguras de los usuarios, lo que significa que los delincuentes pueden atacar a la víctima a través de un simple escenario de fuerza bruta.

Tras una explotación exitosa, un atacante puede obtener discretamente el control del automóvil y utilizarlo con fines maliciosos, desde montar de forma gratuita y espiar a los usuarios, hasta robar el vehículo, e incluso escenarios más graves como robar datos personales de los usuarios y venderlos en el mercado negro para obtener ganancias financieras. Esto podría llevar a delincuentes a realizar movimientos ilegales y peligrosos en las carreteras bajo el disfraz de las identidades de otras personas.