Investigadores da Kaspersky Lab examinaram o nível de segurança de 13 aplicações de car sharing de diferentes fabricantes internacionais – incluindo empresas russas, norte-americanas e europeias e descobriram que todas incluem várias falhas que possibilitam aos hackers ganhar controlo dos veículos partilhados, quer através de um ataque furtivo ou com o perfil de um outro utilizador.

Além disso, foram também detetados utilizadores maliciosos que já monetizam várias contas roubadas de aplicações de car sharing.

Este é um risco especialmente preocupante uma vez que uma investigação recente da Kaspersky Lab sobre atitudes dos consumidores quanto à segurança das aplicações revelou que os europeus não consideram as aplicações de partilha como uma ameaça, especialmente em comparação com outras aplicações como redes sociais, aplicações de mensagens ou bancárias. Menos de 10% dos inquiridos considerou as aplicações de partilha como inseguras.

A lista de vulnerabilidades descobertas inclui a falta de defesa contra ataques man-in-the-middle, a inexistência de defesas contra aplicações de desencriptação (reverse engineering). Com estes ataques, um hacker consegue perceber como está estruturada a aplicação e detetar uma vulnerabilidade que lhe garantirá acesso à infraestrutura do servidor e a falta de técnicas de deteção de rooting.

Há também falta de proteção contra ataques de sobreposição de aplicações – que permitem que aplicações maliciosas apresentem janelas de phishing e roubem as credenciais dos utilizadores. Além disso, menos de metade das aplicações obrigam à criação de palavras-passe fortes por parte dos utilizadores, o que significa que os hackers podem simplesmente atacar as vítimas através de um cenário de força bruta, apontam os investigadores da Kaspersky Lab.

Após a exploração bem-sucedida destas vulnerabilidades, um hacker pode, discretamente, obter o controlo do automóvel e utilizá-lo para os seus objetivos maliciosos – desde simples viagens gratuitas ou espiar o utilizador, até cenários mais graves como o roubo de informações – do veículo em si ou de diferentes utilizadores – para venda no mercado negro. O roubo de identidade e do veículo também permite aos hackers conduzir de forma ilegal e perigosa sob a identidade de outro utilizador.

A investigação da Kaspersky Lab concluiu que, atualmente, as aplicações de serviços de car sharing não estão preparadas para aguentar ataques de malware. E, apesar de ainda não ter sido detetado nenhum ataque sofisticado contra estes serviços, os hackers estão cientes do valor inerente a estas aplicações, e as ofertas existentes no mercado negro revelam que os fornecedores não têm muito tempo para remover as vulnerabilidades.

Entre os conselhos deixados, estão não garantir permissões root ao dispositivo Android, uma vez que estas abrem as portas a uma quantidade quase ilimitada de aplicações maliciosas; atualizar o sistema operativo para reduzir as vulnerabilidades no software e diminuir os riscos de um ataque; e instalar uma solução se segurança de forma a proteger o dispositivo de ciberataques.