Los analistas de Kaspersky Lab han analizado siete de las aplicaciones de control remoto de automóviles desarrolladas por los principales fabricantes y que, de acuerdo con las estadísticas de Google Play, cuentan con decenas de miles de descargas, llegando en algunos casos a sobrepasar los cinco millones. Todas las aplicaciones contienen aspectos relacionados con la seguridad que, potencialmente, pueden llegar a producir daños.

Entre los problemas de seguridad hallados, el estudio cita los siguientes:

  • No hay protección contra la ingeniería inversa de la aplicación. Como resultado, los ciberdelincuentes pueden buscar vulnerabilidades que les den acceso a la infraestructura del servidor o al sistema multimedia del coche.
  • No hay comprobación de la integridad del código. Ésto permite a los ciberdelincuentes introducir su propio código en la aplicación, añadir funciones maliciosas y reemplazar el programa original por uno falso en el dispositivo del usuario.
  • No hay técnicas de detección de 'rooteo'. Los privilegios 'root' dan un sinfín de posibilidades a los troyanos y dejan a la aplicación indefensa.
  • Falta de protección contra técnicas de superposición. Permite a las aplicaciones “maliciosas” mostrar ventanas 'phishing' y hacerse con las credenciales de los usuarios.
  • Almacenamiento de datos de acceso en texto plano. Esta técnica poco segura permite a los delincuentes robar los datos del usuario de forma relativamente fácil.

En cada caso, el vector de ataque necesitará de cierta preparación adicional, como atraer a los propietarios de los vehículos para que instalen aplicaciones “maliciosas”, que se instalarán en el dispositivo y accederán a la aplicación del vehículo. Después de estudiar otras aplicaciones "maliciosas" dirigidas a credenciales online bancarias y otras importantes informaciones, los expertos de Kaspersky Lab reconocen que ésto no va a ser un problema para que los criminales experimentados en técnicas de ingeniería social decidan hacer de los propietarios de los coches conectados su objetivo.

“La principal conclusión de nuestro estudio es que, en la situación actual, las aplicaciones para coches conectados siguen sin estar preparadas para resistir ataques de malware. Cuando hablamos de seguridad en un coche conectado, no sólo debemos tener en cuenta la infraestructura de servidor”, afirma Víctor Chebyshev, experto de seguridad de Kaspersky Lab, para añadir que desde la firma esperan que los fabricantes de coches sigan el mismo camino que han seguido los bancos y entidades financieras en sus aplicaciones, tras sufrir muchos ataques contra sus aplicaciones.

“Por suerte, aún no hemos detectado ningún caso real de ataques contra las aplicaciones automovilísticas, lo que quiere decir que los fabricantes de coches aún tienen tiempo de hacer las cosas bien”. Según Chebyshev, “no sabemos cuánto tiempo pasará, pues los troyanos modernos son muy flexibles, un día pueden actuar como hardware normal y al día siguiente pueden descargar una configuración nueva que hará posible atacar nuevas aplicaciones. Las posibilidades de ataque son muchas”.