Nossos especialistas analisaram nove aplicativos mobile de grandes fabricantes de carros, com foco no teste de sua prote\u00e7\u00e3o. O objetivo era avaliar se s\u00e3o protegidos contra tr\u00eas tipos de ataques usados por aplicativos de Android maliciosos: obten\u00e7\u00e3o de permiss\u00f5es de root (rooting), sobreposi\u00e7\u00e3o de interface com janela falsa e inje\u00e7\u00e3o de c\u00f3digos maliciosos em apps leg\u00edtimos.
\nAntes de mais nada, vamos entender o porqu\u00ea desses ataques serem perigosos.
\n![](\"https:\/\/cdn.securelist.com\/files\/2017\/02\/cars_research_en_1.png\")
<\/p>\n
Vetores potenciais de ataque<\/h3>\n
Rooting<\/strong><\/p>\n No modo de opera\u00e7\u00e3o padr\u00e3o, todos os apps Android armazenam dados, o que inclui logins, senhas e outras informa\u00e7\u00f5es, em se\u00e7\u00f5es isoladas de mem\u00f3ria inacess\u00edveis a outros aplicativos. O Rooting interrompe esse mecanismo de seguran\u00e7a: com esse n\u00edvel de acesso, um aplicativo malicioso pode colocar as m\u00e3os em dados armazenados em outros e roub\u00e1-los.<\/p>\n Muitos malwares utilizam esse recurso. Por volta de 30% dos v\u00edrus para Android usam vulnerabilidades do sistema operacional para realizar essa a\u00e7\u00e3o. Al\u00e9m disso, muitos usu\u00e1rios tornam o trabalho dos v\u00edrus ainda mais f\u00e1cil ao realizar o rooting em seus dispositivos voluntariamente \u2013 algo que n\u00e3o recomendamos a menos que voc\u00ea tenha 100% de certeza acerca de como proteger seu tablet ou smartphone sob essas condi\u00e7\u00f5es.<\/p>\n Sobreposi\u00e7\u00e3o de interface de aplicativos<\/strong><\/p>\n Esse truque \u00e9 bem simples. O malware fica de olho nos aplicativos usados pelo usu\u00e1rio. No momento em que um programa conhecido pelo malware \u00e9 aberto, o v\u00edrus sobrep\u00f5e a janela com uma similar (ou id\u00eantica). O processo \u00e9 instant\u00e2neo, de modo que o usu\u00e1rio n\u00e3o tem qualquer chance de suspeitar.<\/p>\n Ent\u00e3o, conforme o usu\u00e1rio digita informa\u00e7\u00f5es na janela falsa, pensando estar interagindo com um programa confi\u00e1vel, o malware rouba login, senhas, n\u00fameros de cart\u00e3o de cr\u00e9dito e outras informa\u00e7\u00f5es.<\/p>\n Esse subterf\u00fagio est\u00e1 incluso no arsenal padr\u00e3o de mobile banking Trojans. Por\u00e9m, a palavra \u201cbanking\u201d n\u00e3o \u00e9 mais obrigat\u00f3ria nessa combina\u00e7\u00e3o: os criadores desses tipos de amea\u00e7a excederam a coleta de dados para muito al\u00e9m dos programas destinados a institui\u00e7\u00f5es banc\u00e1rias, e criam janelas falsas para outros nos quais os usu\u00e1rios digitam n\u00fameros de cart\u00e3o de cr\u00e9dito ou outras informa\u00e7\u00f5es de interesse.<\/p>\n A lista de programas \u00e9 longa: v\u00e1rios sistemas de pagamento e de mensagem, de compra de passagens e reserva de hospedagem, a Google Play<\/a> e Android Pay, aplicativos de pagamento de multas, entre outros. Recentemente, os criadores de um Trojan come\u00e7aram a roubar informa\u00e7\u00f5es de pagamento de aplicativos de servi\u00e7os de t\u00e1xis<\/a>.<\/p>\n Inje\u00e7\u00e3o de malware<\/strong><\/p>\n Hackers tamb\u00e9m podem pegar um aplicativo leg\u00edtimo, entender como ele funciona, inserir c\u00f3digos maliciosos em sua estrutura, preservando a fun\u00e7\u00e3o original do programa. A partir da\u00ed o espalham pela Google Play ou outros canais (em particular, por meio de an\u00fancios maliciosos no Google AdSense).<\/p>\n Para evitar esse tipo de ocorr\u00eancia, desenvolvedores t\u00eam de garantir que a utiliza\u00e7\u00e3o de engenharia reversa para inser\u00e7\u00e3o de c\u00f3digos maliciosos em seus aplicativos seja trabalhosa o bastante para n\u00e3o se tornar lucrativa. Para fortalec\u00ea-los, s\u00e3o usadas t\u00e9cnicas bastante conhecidas; em um mundo perfeito, deveriam ser aplicadas a todos os produtos que demandem dados sens\u00edveis, infelizmente, a realidade \u00e9 bem diferente, isso nem sempre ocorre.<\/p>\n Por meio dos m\u00e9todos supracitados, aplicativos maliciosos podem roubar nomes de usu\u00e1rio e senhas. O mesmo se aplica para o n\u00famero \u00fanico de identifica\u00e7\u00e3o de um ve\u00edculo (VIN, na sigla em ingl\u00eas), o qual \u00e9 necess\u00e1rio para realizar a autentica\u00e7\u00e3o junto ao aplicativo.<\/p>\n Uma vez que criminosos obt\u00eam essas informa\u00e7\u00f5es, tudo que precisam \u00e9 instalar o aplicativo correspondente em seu pr\u00f3prio smartphone. Com isso, ser\u00e3o capazes de destrancar portas (todos os programas possuem essa capacidade) ou at\u00e9 mesmo ligar o motor (o que nem todos fazem, apesar de ser bastante comum). Fora roubar ou monitorar os movimentos do dono.<\/p>\n An\u00fancios de f\u00f3runs da Darknet sobre venda e compra de informa\u00e7\u00f5es de contas associadas a carros conectados.<\/p><\/div>\n \u00a0<\/p>\n Essa amea\u00e7a j\u00e1 saiu do campo da teoria. F\u00f3runs da Darknet periodicamente exibem an\u00fancios de venda e compra de informa\u00e7\u00f5es de contas de aplicativos de carros conectados. Os pre\u00e7os para esse tipo de dados s\u00e3o bastante altos \u2013 muito maior do que o pago tipicamente por informa\u00e7\u00f5es de cart\u00e3o de cr\u00e9dito.<\/p>\n Cibercriminosos respondem r\u00e1pido a novas oportunidades de ganhar dinheiro, por isso, o uso de malware contra carros conectados \u00e9 quest\u00e3o de tempo.<\/p>\n Quando a primeira parte da pesquisa foi publicada, no come\u00e7o de 2017, especialistas verificaram nove aplicativos para Android desenvolvidos por grandes fabricantes de carros, e descobriram que nenhum desses possu\u00eda prote\u00e7\u00f5es contra as amea\u00e7as que discutimos.<\/p>\n Vou repetir: todos os nove aplicativos estudados eram vulner\u00e1veis aos ataques mais comuns.<\/p>\n Os especialistas da Kaspersky Lab naturalmente entraram em contato com os fabricantes automotivos correspondentes e relataram o problema antes de publicar os resultados.<\/p>\n \u00c9 sempre interessante ver como os eventos se desenrolam. Portanto, h\u00e1 alguns dias, Mikhail Kuzin apresentou a segunda parte do relat\u00f3rio no IAA 2017, o show internacional de autom\u00f3veis em Frankfurt.<\/p>\n O especialista adicionou quatro aplicativos \u00e0 lista original e analisou todos, testando 13 no total. Apenas um dos novos estava protegido \u2013 e contra um dos tr\u00eas ataques (recusa-se a funcionar em dispositivos que passaram por rooting).<\/p>\n O pior: a nova inspe\u00e7\u00e3o mostrou que todos os nove originais permaneciam vulner\u00e1veis. Nos meses em que possu\u00edam ci\u00eancia do problema, os desenvolvedores n\u00e3o consertaram nada. Infelizmente, fabricantes de autom\u00f3veis, apesar de todo o conhecimento e talento no que concerne a constru\u00e7\u00e3o de carros, n\u00e3o possuem a experi\u00eancia necess\u00e1ria para implementar ciberseguran\u00e7a adequadamente.<\/p>\n Eles n\u00e3o s\u00e3o os \u00fanicos. Esse problema \u00e9 t\u00edpico de fabricantes de outros eletr\u00f4nicos inteligentes conectados. Com carros, esse problema parece mais urgente e s\u00e9rio; ciberataques poderiam resultar em perdas de centenas de milhares de d\u00f3lares ou at\u00e9 mesmo colocar vidas em risco. Se voc\u00ea ficou incomodado com a possibilidade de seu smartphone ficar \u00e0 merc\u00ea de malfeitores, deve instalar prote\u00e7\u00e3o confi\u00e1vel em seu dispositivo com objetivo de detectar e bloquear malwares antes que intercepte informa\u00e7\u00f5es importantes.<\/p>\n","protected":false},"excerpt":{"rendered":" H\u00e1 meses, nossos especialistas acharam v\u00e1rias vulnerabilidades em aplicativos Android que permitem o controle de carros remotamente. O que mudou desde ent\u00e3o?<\/p>\n","protected":false},"author":421,"featured_media":9720,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260],"tags":[218,1295,34,624,239,1296,1293,1294,572],"class_list":{"0":"post-9719","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-ameacas","9":"tag-amr","10":"tag-android","11":"tag-apps","12":"tag-carros-conectados","13":"tag-carros-inteligentes","14":"tag-iaa","15":"tag-iaa-2017","16":"tag-iot"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/connected-car-apps-revisited\/9719\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/connected-car-apps-revisited\/11223\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/connected-car-apps-revisited\/9285\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/connected-car-apps-revisited\/12782\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/connected-car-apps-revisited\/11769\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/connected-car-apps-revisited\/11297\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/connected-car-apps-revisited\/14370\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/connected-car-apps-revisited\/14247\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/connected-car-apps-revisited\/18747\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/connected-car-apps-revisited\/18548\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/connected-car-apps-revisited\/9603\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/connected-car-apps-revisited\/7381\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/connected-car-apps-revisited\/14618\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/connected-car-apps-revisited\/17925\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/connected-car-apps-revisited\/17867\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/connected-car-apps-revisited\/17856\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/iot\/","name":"IoT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/9719","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/421"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=9719"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/9719\/revisions"}],"predecessor-version":[{"id":13010,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/9719\/revisions\/13010"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/9720"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=9719"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=9719"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=9719"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}A amea\u00e7a principal<\/h3>\n
![\"An\u00fancios](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2017\/09\/20040930\/darknet-ads-1024x328.jpg\")
Parte 1: 9 aplicativos para carros conectados, 0 protegidos contra malware<\/h3>\n
Parte 2: 13 aplicativos para carros conectados, 1 protegido contra (alguns) malwares<\/h3>\n
\nFelizmente, expertise em ciberseguran\u00e7a n\u00e3o precisa estar dentro da empresa, e voc\u00ea n\u00e3o tem de cometer os mesmos erros para conquist\u00e1-la. Ficamos mais do que satisfeitos em trabalhar com setor automotivo e ajudar a resolver os problemas com aplicativos e outras quest\u00f5es digitais.<\/p>\n