Mobilne aplikacije za umrežavanje automobila nude različite funkcije koje olakšavaju život vozačima, ali mogu biti i veoma rizične. Stručnjaci kompanije Kaspersky su analizirali 69 popularnih mobilnih aplikacija za umrežavanje automobila i definisali glavne pretnje sa kojima se vozači/korisnici mogu suočiti. Otkrili su da više od polovine (58 odsto) ovih aplikacija koristi privatne informacije vlasnika vozila a da pri tome ne traže njihovu saglasnost, a svaka peta aplikacija nema informacija o tome kako ih kontaktirati, što onemogućava da budu prijavljeni. Ovi i drugi nalazi, objavljeni su u novom izveštaju Kaspersky Connected Apps.
Aplikacije za umrežavanje automobila nude široke mogućnosti koje dosta pomažu vozačima. Na primer, omogućavaju korisnicima da daljinski kontrolišu svoja vozila zaključavanjem ili otključavanjem vrata, podešavaju temperaturu unutar vozila, paljenje/gašenje motora itd. Većina proizvođača automobila ima svoje zvanične aplikacije, ali su aplikacije nezavisnih (third-party) mobilnih programera i dalje veoma popularne među korisnicima, jer nude jedinstvene funkcije koje proizvođač vozila još nije uveo u oficijalnim aplikacijama.
Nezavisne aplikacije, koje je analizirala kompanija Kaspersky, pokrivaju skoro svi vodeći brendovi auto industrije, a najčešćih 5 koje kontrolišu ove aplikacije jesu: Tesla, Nissan, Ford i Volkswagen. Međutim, ove aplikacije nisu potpuno bezbedne za korišćenje, tvrde istraživači kompanije Kaspersky.
Stručnjaci kompanije su proverili 69 aplikacija i identifikovali ključne rizike po privatnost korisnika prilikom korišćenja. Otkrili su da više od polovine (58 odsto) aplikacija ne upozorava na rizike povezivanja i korišćenja vlasničkog naloga iz originalne aplikacije proizvođača automobila.
Neki programeri savetuju korišćenje privremenih naloga za autorizaciju (tkz. token) umesto korisničkog imena i lozinke. I tada postoji rizik, ako je token ukraden, napadači mogu da dobiju pristup automobilima kao da imaju privatne informacije korisnika. To znači da je rizik gubitka kontrole nad vozilima i dalje veoma visok. Korisnici treba da budu svesni da ove aplikacije koriste na sopstveni rizik, kao i da korišćenje tokena za autorizaciju ne garantuje potpunu bezbednost. Uprkos tome, svega 19 odsto programera to pominje i upozorava korisnika transparentno.
Svaka peta (14 odsto) aplikacija nema informacije o tome kako kontaktirati programera ili dati feedback, što onemogućava prijavljivanje problema ili traženje dodatnih informacija o politici privatnosti aplikacije. Odsustvo zvaničnih kontakt informacija i stranica društvenih mreža jasno pokazuje da većinu ovih aplikacija razvijaju entuzijasti, što nije nužno loša stvar, ali takvi programeri ne brinu o bezbednosti vašeg vozila i bezbednosti podataka kao što to rade proizvođači vozila.
Takođe, značajno je napomenuti da je 46 od 69 aplikacijajesu besplatne ili nude demo režim. Ovo je doprinelo da takve aplikacije budu preuzimane sa Google Play Store-a više od 239.000 puta, zbog čega se zapitate koliko ljudi daje besplatan pristup svojim automobilima potpunim strancima.
“Prednosti umrežavanja su bezbrojne. Međutim, važno je napomenuti da je ovo i dalje industrija u razvoju, koja nosi određene rizike. Prilikom preuzimanja aplikacija za daljinsko upravljanje automobilom, korisnici treba da budu svesni mogućih pretnji. Mnogo privatnih informacija i ličnih podataka poveravamo određenim tehnologijama. Nažalost, nemaju svi programeri odgovoran pristup kada su u pitanju skladištenje i prikupljanje podataka, što rezultira time da korisnici otkrivaju svoje lične podatke. Ovi podaci se mogu dalje prodavati na dark web-u i završiti u nepoželjnim rukama. Sajber kriminalci mogu ne samo da ukradu vaše lične podatke, već i da dobiju pristup vašem vozilu – a to može dovesti do fizičkih pretnji. Iz ovih razloga, apelujemo na programere aplikacija da zaštitu korisnika stave kao prioritet i preduzmu mere predostrožnosti kako bi izbegli kompromitovanje svojih klijenata i sebe”, komentariše Dragan Davidović, direktor B2B poslovanja kompanije Kaspersky za Istočnu Evropu.
Saznajte više o rizicima korišćenja aplikacija za automobile na Securelist.com.
Za programere aplikacija, stručnjaci kompanije Kaspersky preporučuju sledeće:
- Usvojiti rešenja koja obezbeđuju proces razvoja softvera kroz kontrolu aplikacija tokom rada, skeniranje pre primene, rutinsko sprovođenje bezbednosne provere i anti-malware testiranje proizvodnih artefakata. S obzirom na to da su napadi na lanac snabdevanja preko javnih skladišta u poslednje vreme sve češći, razvojnom procesu je potrebna zaštita od spoljašnjih uticaja.
- Kaspersky Hybrid Cloud Security zadovoljava potrebe programera. Obezbeđuje Docker i Windows container-e i obezbeđuje pristup korišćenjem “bezbednosnog koda”, sa zaštitom memorije hosta, zadacima za kontejnere, skeniranjem slika i interfejsima koje je moguće menjati. Dakle, možete integrisati zaštitne protokole u okviru CICD pipeline-a i tokom razvoja softvera.
- Implementirati zaštitne mehanizme u aplikaciju. Kaspersky Mobile SDK omogućava zaštitu podataka za klijente, kao i otkrivanje malware-a, bezbedno povezivanje i još mnogo toga.
Kaspersky stručnjaci preporučuju korisnicima da:
- Preuzimaju aplikacije samo iz zvaničnih prodavnica kao što su Apple App Store, Google Play ili Amazon Appstore. Aplikacije sa ovih tržišta nisu 100 odsto bezbedne, ali su ih proverili predstavnici prodavnica i postoji sistem filtriranja, što znači da ne može svaka aplikacija da uđe u ove prodavnice.
- Proverite dozvole aplikacija koje koristite i dobro razmislite pre nego što dozvolite neki proces, posebno kada su u pitanju dozvole visokog rizika kao što je pristup uslugama pristupačnosti. Jedina dozvola koja je potrebna aplikaciji za baterijsku lampu, na primer, jeste pristup funkciji baterijske lampe.
- Usvojite pouzdano bezbednosno rešenje koje će vam pomoći da otkrijete zlonamerne aplikacije i reklamni softver pre nego što počnu da se ponašaju loše na vašem uređaju.
- Ne zaboravite da redovno ažurirate svoj operativni sistem i softver. Mnogi bezbednosni problemi mogu biti rešeni instaliranjem ažuriranih vezija softvera.