Aplicaciones de uso compartido de vehículos vulnerables al hacking

Investigadores especialistas en cursos de protección de datos personales han analizado más de una docena de aplicaciones móviles proporcionadas por compañías de automóviles compartidos y han descubierto serios vacíos de seguridad que pueden ser explotados para obtener información personal e incluso robar vehículos.

Los especialistas han investigado un total de 13 aplicaciones para compartir automóviles funcionando en Android. Las aplicaciones se utilizan para Estados Unidos, Europa y Rusia, y se han descargado más de 1 millón de veces desde Google Play.

Estas aplicaciones pueden ser un objetivo tentador para los actores maliciosos por varias razones; podrían secuestrar la cuenta del usuario legítimo para usar automóviles sin pagarlos, robar vehículos por sus piezas o para cometer delitos, rastrear las ubicaciones de los usuarios y obtener la información personal del titular de la cuenta.

Si bien algunos de estos son riesgos teóricos, los especialistas en cursos de protección de datos personales comentan que grupos de hackers ya están vendiendo cuentas robadas de usuarios de vehículos compartidos. Quienes venden esta información afirman que estas cuentas pueden ser útiles para varias cosas, incluso para conducir un automóvil sin una licencia.

Los investigadores primero verificaron si las aplicaciones pueden ser de ingeniería inversa y si pueden ejecutarse en dispositivos rooteados. Si no se evita que personas no autorizadas apliquen ingeniería inversa a una aplicación, aumenta el riesgo de que alguien cree una versión maliciosa de la aplicación. Permitir que una aplicación se ejecute en un dispositivo rooteado permite a un atacante acceder a información confidencial.

Sólo una de las aplicaciones analizadas tenía protecciones de ingeniería inversa, pero no impedía la ejecución en un dispositivo rooteado. Por otro lado, la aplicación en cuestión cifró datos confidenciales, lo que mitiga el riesgo introducido al permitir que se ejecute de manera casi libre.

Los especialistas en cursos de protección de datos personales también verificaron la fortaleza de las contraseñas que protegen las cuentas de uso compartido de automóviles. Los expertos descubrieron que, en muchos casos, los desarrolladores establecen contraseñas débiles o proporcionan a los usuarios códigos de verificación cortos y únicos. Esto, combinado con la falta de un mecanismo de límite para el número de intentos de inicio de sesión, hace que sea más fácil lanzar ataques de fuerza bruta y obtener una contraseña o un código de un sólo uso.

Los usuarios de estas aplicaciones frecuentemente cometen descuidos que exponen su información, publican imágenes en sus redes sociales y usan hashtags específicos que vuelven sus perfiles fácilmente identificables. Los números de teléfono son importantes para los atacantes, ya que esta información puede representar el nombre de usuario y es a donde la aplicación envía los códigos de usuario.

Los investigadores también notaron que, si bien las aplicaciones usan HTTPS para las comunicaciones con el servidor, todas fallan al verificar el certificado del servidor, lo que facilita el lanzamiento de los ataques Man-in-the-Middle (MitM) e intercepta los datos potencialmente confidenciales.

Finalmente, los especialistas en cursos de protección de datos personales comprobaron si las aplicaciones incluyen protecciones de superposición. Específicamente, verificaron si los desarrolladores implementaron algún mecanismo que evite que los atacantes que ya tienen acceso a un teléfono inteligente muestren una ventana falsa (es decir, una página de phishing) en la parte superior de la aplicación verdadera. Desafortunadamente, ninguna de las aplicaciones analizadas protege al usuario contra esta amenaza.