Apps voor connected cars zeer zwak beveiligd
Diverse apps voor connected cars kunnen eenvoudig misbruikt worden waardoor kwaadwillenden voor een deel controle kunnen krijgen over deze auto’s. Dat blijkt uit een test van beveiliger Kaspersky Labs, meldt Wired. Onderzoekers hebben 9 Android connected-car apps onderzocht. Enkele daarvan zijn al 100.000 tot een miljoen keer gedownload. In de meeste daarvan ontbreken de meest basale beveiligingsfuncties.
Door simpelweg de telefoon van de gebruiker te rooten of door deze via een trucje kwaadaardige code te laten installeren op zijn smartphone, kunnen hackers de apps misbruiken om de auto te lokaliseren, te openen en in enkele gevallen zelfs te starten. Voor meer controle over de auto hebben ze wel weer andere trucs nodig, zoals spoofing van een sleutel of het immobilizer-mechanisme uitzetten dat voorkomt dat een auto wordt gestolen.
De onderzoekers hebben de makers van de apps gewaarschuwd, maar geven niet vrij om welke apps het gaat. Zij willen niet het risico lopend dat autodieven hier van kunnen profiteren. Viktor Chebyshev, onderzoeker bij Kaspersky, vraagt zich echter wel af waarom applicatieontwikkelaars voor connected cars zo weinig aandacht hebben voor beveiliging. Zij wijzen er op dat Tesla de mogelijkheid biedt om een auto te besturen met louter een smartphoen app. Tesla was overigens geen onderdeel van de test.
Kaspersky benadrukt ook dat het tot nu toe nog geen Android-malware heeft gevonden die deze zwakke punten actief misbruikt. Wel zagen ze op fora dat de zwarte markt al geinteresseerd is in logingegevens die in de conncected-car apps worden gevonden. De meeste van de onderzochte apps slaan die namelijk onversleuteld op.
De onderzoekers hebben de makers van de apps gewaarschuwd, maar geven niet vrij om welke apps het gaat. Zij willen niet het risico lopend dat autodieven hier van kunnen profiteren. Viktor Chebyshev, onderzoeker bij Kaspersky, vraagt zich echter wel af waarom applicatieontwikkelaars voor connected cars zo weinig aandacht hebben voor beveiliging. Zij wijzen er op dat Tesla de mogelijkheid biedt om een auto te besturen met louter een smartphoen app. Tesla was overigens geen onderdeel van de test.
Kaspersky benadrukt ook dat het tot nu toe nog geen Android-malware heeft gevonden die deze zwakke punten actief misbruikt. Wel zagen ze op fora dat de zwarte markt al geïnteresseerd is in logingegevens die in de conncected-car apps worden gevonden. De meeste van de onderzochte apps slaan die namelijk onversleuteld op.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee