Informe de Kaspersky revela que populares apps móviles para carros conectados utilizan los datos de usuarios sin su consentimiento.
Las aplicaciones móviles para vehículos conectados incluyen diversas funciones para facilitar la vida de los automovilistas, pero también pueden ser una fuente de riesgo. Los expertos de Kaspersky analizaron 69 de las aplicaciones más populares producidas por terceros y definieron las principales amenazas que los conductores pueden enfrentar al usarlas. Más de la mitad (58%) de estas aplicaciones utiliza las credenciales de los propietarios sin consentimiento y una de cada cinco no tiene información de contacto, lo que hace que sea imposible informar de algún problema. Estos y otros descubrimientos se dan a conocer en el nuevo informe Kaspersky Connected Apps.
Las aplicaciones para automóviles permiten a los usuarios controlar a distancia sus vehículos poniendo o quitando el seguro de las puertas, ajustando el control del clima, arrancando y apagando el motor, entre otras cosas. Aunque la mayoría de los fabricantes de automóviles tienen aplicaciones legítimas para los automóviles que fabrican, las aplicaciones de terceros también son muy populares entre los usuarios, ya que pueden ofrecer características únicas que aún no han sido introducidas por el fabricante del vehículo.
Las apps analizadas abarcan casi todos los vehículos, con Tesla, Nissan, Renault, Ford y Volkswagen entre las cinco marcas de autos que pueden ser controlados por dichas aplicaciones. Sin embargo, su uso no es del todo seguro, afirman los investigadores de Kaspersky.
Los expertos de la compañía examinaron 69 aplicaciones de terceros diseñadas para automóviles conectados e identificaron los principales riesgos para la privacidad que los conductores podrían enfrentar al emplearlas. Descubrieron que más de la mitad (58%) de las aplicaciones no advierten sobre los riesgos de usar la cuenta original de servicio del fabricante del automóvil.
Algunos desarrolladores aconsejan usar el token de autorización en lugar de un nombre de usuario y una contraseña para parecer más creíbles. La parte complicada aquí es que, si un token resulta contaminado, los criminales pueden acceder a los autos de la misma manera que lo harían usando las credenciales de las víctimas. Esto significa que el riesgo de perder el control de los vehículos sigue siendo elevado. Los usuarios deben ser conscientes del peligro y que el uso de tokens de autorización no garantiza la seguridad total. A pesar de esto, solo el 19% de los desarrolladores de estas apps lo menciona y advierte al usuario sin ocultarlo en varias capas de letra pequeña.
Además, una de cada siete aplicaciones (14%) no tiene información sobre cómo ponerse en contacto con el propietario de la app o enviar comentarios, lo que hace imposible dar a conocer algún problema o solicitar más información sobre la política de privacidad de la aplicación. La ausencia de detalles oficiales para ponerse en contacto y de páginas de redes sociales deja en claro que la mayoría de estas aplicaciones son programadas por desarrolladores independientes, lo que no es necesariamente algo malo; sin embargo, estos no tienen que preocuparse por la seguridad del vehículo del usuario ni la de los datos, como los fabricantes de vehículos regulados si lo pueden hacer.
También vale la pena señalar que 46 de las 69 aplicaciones son gratuitas u ofrecen un modo de prueba. Esto ha contribuido a que este tipo de aplicaciones se hayan bajado de Google Play Store más de 239,000 veces, lo que hace que uno se pregunte cuántas personas estarán dando libre acceso a su auto a extraños.
“Los beneficios de un mundo conectado son innumerables. Sin embargo, es importante señalar que esta es todavía una industria en desarrollo que conlleva ciertos riesgos. Al bajar una aplicación de terceros para controlar su automóvil de forma remota, los usuarios deben ser conscientes de las posibles amenazas. Confiamos mucha información privada y datos personales a la tecnología conectada. Desafortunadamente, no todos los desarrolladores adoptan un enfoque responsable en lo que respecta al almacenamiento y la recopilación de datos, lo que hace que los usuarios expongan su información personal. Estos datos pueden venderse incluso en la dark web y terminar en manos no confiables. Además, es posible que los ciberdelincuentes no solo roben los datos y credenciales personales de usted, sino que también obtengan acceso a su vehículo, y eso podría generar amenazas físicas. Por estos motivos, instamos a los programadores de aplicaciones a que hagan de la protección del usuario una prioridad y tomen medidas de precaución para evitar comprometer a sus clientes y a ellos mismos”, comenta Sergey Zorin, director de Kaspersky Transportation Security en Kaspersky.
Para los usuarios, Kaspersky recomienda:
• Solo baje aplicaciones desde tiendas oficiales como Apple App Store, Google Play o Amazon Appstore. Las apps de estos mercados no son 100% a prueba de fallos, pero al menos las revisan los representantes de las tiendas y existe algún sistema de filtración, lo que significa que no todas las aplicaciones pueden ingresar a estas tiendas.
• Verifique los permisos que le solicita la app y piense detenidamente antes de permitir un proceso, especialmente cuando se trata de permisos de alto riesgo, como es el acceso a los Servicios de Accesibilidad. El único permiso que necesita una aplicación de linterna, por ejemplo, es el acceso a la funcionalidad de la linterna, no es necesario dar acceso al micrófono o a la cámara del dispositivo.
• Adopte una solución de seguridad confiable para ayudar a detectar aplicaciones maliciosas y adware antes de que comiencen a comportarse mal en su dispositivo
• No olvide actualizar su sistema operativo y todo el software regularmente. Muchos problemas de seguridad se pueden resolver instalando versiones actualizadas de software.
Para los desarrolladores de aplicaciones, los expertos de Kaspersky recomiendan:
• Adoptar soluciones que aseguren el proceso de desarrollo del software a través del control de aplicaciones en tiempo de ejecución, buscando vulnerabilidades antes de la implementación, realizando de forma rutinaria la verificación de seguridad de los contenedores y pruebas antimalware de los dispositivos de producción. Dado que los ataques a la cadena de suministro a través de repositorios públicos son cada vez más frecuentes últimamente, el proceso de desarrollo necesita una mayor protección contra la interferencia externa.
• Kaspersky Hybrid Cloud Security satisface las necesidades de los programadores. Protege los contenedores de Docker y Windows. Además, proporciona un método de «seguridad como código», con protección de la memoria del host de contenedores, escaneo de imágenes e interfaces programables. Por lo tanto, usted puede integrar tareas de seguridad en canalizaciones de CI/CD sin afectar el proceso de desarrollo.
• Implemente mecanismos de protección en la aplicación. Kaspersky Mobile SDK que incluye protección de datos para los clientes, así como detección de malware, conectividad segura y más.