Aplicativos Android que permitem milhões de proprietários de carros localizarem remotamente e destravarem seus veículos estão sem alguns recursos de segurança que poderiam prevenir ciberataques.

Pesquisadores da Kaspersky Lab pegaram sete dos mais populares apps Android que acompanham carros conectados de diferentes fabricantes e analisaram da perspectiva de um dispositivo Android comprometido. Os apps e seus desenvolvedores não foram nomeados.

Os pesquisadores analisaram se tais aplicativos usam qualquer uma das contramedidas disponíveis que dificultaria o sequestro quando os dispositivos em que estiverem instalados estiverem infectados com malware. Outros tipos de aplicativos, como os bancários, têm essas proteções.

A análise revelou que nenhum dos aplicativos testado usou a chamada ofuscação de código para tornar mais difícil o uso de engenharia reversa pelos invasores. E nenhum deles usou integridade de código para prevenir manipulação mal-intencionada.

Dois aplicativos não criptografaram as credenciais de login armazenadas localmente e quatro criptografaram somente a senha. Nenhuma das aplicações verificou se os dispositivos em execução estão enraizados, o que pode indicar que eles não estão seguros e possivelmente comprometidos.

Por fim, nenhum dos aplicativos testado utilizou proteções de sobreposição para impedir que outros aplicativos dessem suas telas. Existem aplicativos de malware que exibem telas de login falsas em cima de outros aplicativos para enganar usuários para exporem suas credenciais.

Embora o comprometimento dos aplicativos de carros conectados não habilite diretamente o roubo, isso poderia torná-lo mais fácil para possíveis ladrões. A maioria desses aplicativos, ou as credenciais que eles armazenam, podem ser usados para desbloquear remotamente o veículo e desativar seu sistema de alarme.

"Além disso, os riscos não devem se limitar ao mero roubo de carros", disseram os pesquisadores da Kaspersky em um post publicado no blog da companhia. "Acessar o carro e manipular deliberadamente seus elementos pode levar a acidentes rodoviários, ferimentos ou à morte".

Enquanto os fabricantes estão se apressando para adicionar recursos inteligentes para carros que se destinam a melhorar a experiência para os proprietários de automóveis, eles tendem a se concentrar mais em proteger a infraestrutura de back end e os canais de comunicação. No entanto, os pesquisadores da Kaspersky alertam que o código do lado do cliente, como os aplicativos móveis acompanhantes, não devem ser ignorados, pois trata-se do alvo mais fácil para os invasores e, provavelmente, o local mais vulnerável.

"Por ser uma coisa cara, um carro requer uma aproximação à segurança que seja não menos meticulosa do que aquela de uma conta de banco," disseram os pesquisadores.