Kaspersky fandt en række sikkerhedsproblemer i samtlige testede apps, som potentielt kan gøre det muligt for kriminelle at tage kontrol over bilerne, for når først en kriminel har adgang gennem app’en, så kan personen gøre næsten hvad som helst – lige fra at stjæle bilen til at gøre skade eller bruge den til ondsindede formål.

Af Allan Bauer 2. august 2018 15:00

DELEBILER For at undersøge, hvor stort problemet med sårbarheder i delebilsapps er, har analytikere fra Kaspersky Lab testet 13 apps, udviklet af store producenter fra forskellige markeder, som – ifølge Google Plays statistikker – er downloadet mere end 1 million gange. Undersøgelse viser, at hver eneste af de testede apps har flere sikkerhedsproblemer. Derudover fandt analytikerne også ud af, at ondsindede brugere allerede udnytter stjålne konti til bildelingsapps.

Den manglende sikkerhed er særligt bekymrende, fordi en nylig undersøgelse fra Kaspersky Lab om forbrugeres holdninger til app-sikkerhed viser, at danskerne ikke ser apps til delebiler som en trussel sammenlignet med apps til eksempelvis banker, sociale medier og beskeder. Kun 10 pct. lister delebilsapps som de apps, de mindst kan stole på.

På listen over sikkerhedssårbarheder i apps’ene findes følgende problemer:

• Intet forsvar mod man-in-the-middle-angreb. Det betyder, at mens en bruger tror, han er forbundet til den rigtige hjemmeside, så er trafikken faktisk omdirigeret gennem hackerens hjemmeside, hvilket gør det muligt for hackeren at opfange enhver personlig data, som offeret indtaster (fx login, kodeord, PIN-kode osv.).
• Intet forsvar mod reverse engineering af apps. Resultatet heraf er, at en hacker kan tjekke hvordan appen fungerer, og så finde de huller, der giver ham adgang til infrastrukturen.
• Ingen teknikker til at opdage rooting – dvs. hackeren kan få superbrugeradgang til ellers lukket data. Root-rettigheder giver en ondsindet bruger næsten uanede muligheder og gør appen forsvarsløs.
• Manglende beskyttelse mod app overlaying. Dette hjælper ondsindede apps med at vise phishing-vinduer og dermed stjæle brugeres informationer. App overlaying fungerer ved, at pop up-vinduer dækker skærmen og beder brugeren genindtaste kodeord mm.
• Mindre end halvdelen af apps’ene krævede stærke kodeord fra brugerne, hvilket betyder at kriminelle kan angribe ofrene gennem et såkaldt brute force-angreb – dvs. ved at forsøge sig med ligeså mange kodeord, der skal til for at gætte koden.

Kontrol over bilen

Sårbarhederne er både en trussel for brugere og delebilsvirksomheder. Ved at udnytte sårbarhederne kan en hacker diskret få kontrol over bilen og bruge den til ondsindede formål – herunder alt fra at køre gratis og udspionere brugerne til at stjæle bilen og dens informationer, eller til endnu mere alvorlige scenarier som at stjæle brugernes personlige data og sælge dem på det sorte marked. Adgangen kan også føre til, at kriminelle udfører ulovlige og farlige manøvrer på vejene under dække af at være en anden person.

- Vores undersøgelse konkluder, at apps til delebiler – i deres nuværende tilstand – ikke er klar til at modstå malware-angreb. Og mens vi endnu ikke har opdaget tilfælde af sofistikerede angreb mod delebilstjenester, så forstår de it-kriminelle værdien disse apps har, og eksisterende tilbud på det sorte marked peger på, at udbyderne ikke har lang tid til at fjerne sårbarhederne, siger Victor Chebyshev, sikkerhedsekspert hos Kaspersky Lab.

Analytikere fra Kaspersky Lab råder brugere af bildelingsapps til at tage følgende forholdsregler for at beskytte deres biler og private data fra mulige cyberangreb:

• Root ikke din Android-enhed, da dette vil give næsten ubegrænsede egenskaber til ondsindede apps
• Hold OS-versionen på din enhed opdateret for at reducere sårbarheder i softwaren og mindske risikoen for angreb
• Installér en gennemprøvet sikkerhedsløsning for at beskytte din enhed mod cyberangreb