Les applications mobiles pour les voitures en réseau sont-elles vraiment sûres ?

L’idée de contrôler votre voiture à distance avec une application semble très tentante. Imaginez que c’est l’hiver et qu’il fait un froid glacial dehors. Pendant que vous êtes encore au chaud sous une couverture, vous pouvez démarrer votre voiture et allumer le chauffage. Ainsi, lorsque vous quittez la maison, une voiture confortable et chaude vous attend déjà. Bien sûr, cela fonctionne tout aussi bien pendant les chaudes journées d’été, lorsque vous pouvez déjà faire fonctionner la climatisation quelques minutes avant de partir.

De plus, vous n’aurez jamais à vous rappeler où vous vous êtes garé. L’application mobile vous donne toujours accès aux coordonnées GPS de votre voiture. Cela semble très tentant, n’est-ce pas ? C’est pourquoi de plus en plus de modèles de voitures peuvent être utilisés via des applications mobiles. Mais est-ce que c’est même sûr ?

Test de sécurité des applications 

Les experts ont analysé les applications Android et ont demandé aux utilisateurs de contrôler les voitures à distance. Les portes ont été ouvertes, la voiture a démarré, les écrans du tableau de bord ont été lus, etc.

Neuf applications mobiles ont été analysées pour la sécurité. L’objectif étant d’évaluer la protection des applications contre les attaques typiques des applications malveillantes d’Android. L’objectif principal était d’obtenir les privilèges root, de recouvrir l’interface de l’application d’une fausse fenêtre et de faire entrer clandestinement du code malveillant dans l’application légitime de voiture en réseau. Mais d’abord, il faut savoir ce qui rend ces attaques si dangereuses.

Vecteurs d’attaque potentiels

Par défaut, toutes les applications Android stockent les données, y compris les données importantes telles que les noms d’utilisateur, les mots de passe et autres informations, dans des zones de mémoire isolées auxquelles les autres applications ne peuvent accéder. L’enracinement perturbe ce mécanisme de sécurité : l’accès à la racine permet à une application malveillante d’accéder aux données stockées par d’autres applications et de les voler.

De nombreux types de logiciels malveillants exploitent cette possibilité. Plus de 30 des logiciels malveillants Android les plus courants peuvent utiliser les vulnérabilités du système d’exploitation pour s’attaquer aux appareils racine. De nombreux utilisateurs facilitent encore plus le travail des virus et font eux-mêmes pivoter leur appareil Android. Vous ne devez faire tourner votre appareil vous-même que si vous savez exactement comment protéger correctement votre tablette ou votre smartphone.

Ainsi, l’interface de l’application est superposée

Ce truc sournois fonctionne très facilement. Le logiciel malveillant suit l’utilisateur lorsqu’il ouvre une application. Si cette application ressemble au malware, elle recouvre la fenêtre de l’application avec sa propre fenêtre d’apparence similaire. Cela se produit instantanément, de sorte que l’utilisateur n’a aucune chance de remarquer quoi que ce soit de suspect.

Si l’utilisateur saisit les informations dans la mauvaise fenêtre, croyant qu’il interagit avec l’application familière, le malware vole les noms d’utilisateur, les mots de passe, les numéros de carte de crédit et d’autres informations qui pourraient intéresser le pirate informatique.

Cette astuce fait partie du répertoire standard des chevaux de Troie bancaires mobiles. Bien que le terme “banque” seul ait cessé d’être vrai depuis longtemps, les développeurs de ces chevaux de Troie sont loin de collecter des données à partir d’applications bancaires mobiles. Ils créent plutôt de fausses fenêtres pour diverses applications où les utilisateurs doivent révéler leur numéro de carte de crédit ou d’autres informations intéressantes.

La liste des applications imitables est assez longue. Par exemple : de nombreux systèmes de paiement et des applications de messagerie populaires, des applications pour acheter des billets d’avion et réserver des chambres d’hôtel, Google Play Store et Android Pay, des applications pour payer des amendes et bien d’autres encore. Récemment, les inventeurs d’un tel cheval de Troie ont commencé à voler les informations de paiement des applications de taxi.

Ainsi, le logiciel malveillant est infiltré

les pirates peuvent sélectionner une application légitime, découvrir son fonctionnement, infiltrer un code malveillant tout en préservant les caractéristiques de l’application d’origine, puis le diffuser par Google Play ou d’autres canaux (notamment par des annonces malveillantes sur Google AdSense).

Pour empêcher les criminels d’utiliser cette astuce, les développeurs d’applications doivent s’assurer que l’ingénierie inverse et l’introduction de code malveillant dans les applications prennent le plus de temps possible – et sont donc aussi peu rentables – que possible. Les développeurs utilisent des techniques bien connues pour renforcer leurs applications ; dans un monde parfait, tous les développeurs utiliseraient ces techniques pour développer des applications qui fonctionnent avec des données utilisateur sensibles. Dans le monde réel, cependant, ce n’est malheureusement pas toujours le cas.

Les applications malveillantes : une grosse menace

Les applications malveillantes peuvent voler les noms d’utilisateur, les mots de passe, les codes PIN ou même le VIN du véhicule. Dès que les criminels reçoivent ces données, il leur suffit d’installer l’application correspondante sur leur propre smartphone. Ils peuvent alors ouvrir les portes (toutes les applications ont cette fonction), démarrer le véhicule (toutes les applications ne le permettent pas, mais cette fonction est encore relativement courante), voler le véhicule ou localiser le propriétaire.

La menace n’est plus seulement théorique. Les forums publient occasionnellement des annonces promouvant l’achat et la vente d’informations sur les comptes d’utilisateurs réels pour les applications automobiles en réseau. Les prix de ces données sont étonnamment élevés, beaucoup plus élevés que le montant que les criminels paient habituellement pour des informations de cartes de crédit volées. Les cybercriminels réagissent rapidement aux nouvelles possibilités de gagner de l’argent. La propagation de l’utilisation de logiciels malveillants qui attaquent les voitures en réseau n’est qu’une question de temps.

Cela semble être un problème typique des fabricants d’autres produits électroniques intelligents et en réseau. Cependant, comme il s’agit de voitures, le problème semble être encore plus grave et urgent ; les attaques de pirates informatiques pourraient entraîner la perte de beaucoup d’argent ou même mettre en danger la vie d’une personne. Heureusement, vous n’avez pas besoin d’avoir des experts en cybersécurité à la maison. Nous sommes fiers de travailler avec les constructeurs automobiles pour aider à résoudre les problèmes liés aux applications ou autres objets numériques.

Si vous craignez que des criminels accèdent à votre smartphone, vous devez installer une protection fiable sur votre smartphone pour détecter et bloquer les logiciels malveillants avant qu’ils ne puissent intercepter des informations importantes.