Các ứng dụng xe được kết nối cung cấp nhiều tính năng giúp cuộc sống của người lái xe dễ dàng hơn. Tuy nhiên, chúng cũng có thể là một nguồn rủi ro. Các chuyên gia của Kaspersky đã phân tích 69 ứng dụng di động phổ biến của bên thứ ba được thiết kế để kiểm soát các phương tiện được kết nối và xác định các mối đe dọa mà người lái xe có thể gặp phải khi sử dụng chúng. Kết quả là, hơn một nửa (58%) ứng dụng đã sử dụng thông tin xác thực của chủ phương tiện mà không được phép. Hơn nữa, 1/5 số ứng dụng không có thông tin liên hệ nên không thể báo cáo sự cố. Những phát hiện này và những phát hiện tương tự được công bố trong báo cáo Ứng dụng được kết nối mới của Kaspersky.
Ứng dụng ô tô được kết nối là gì?
Các ứng dụng ô tô được kết nối cung cấp nhiều chức năng khác nhau để giúp cuộc sống của người lái xe dễ dàng hơn. Ví dụ, nó cho phép người dùng khóa và mở khóa cửa, điều chỉnh hệ thống điều hòa khí hậu, khởi động và dừng động cơ, nói tóm lại là điều khiển phương tiện của họ từ xa. Trong khi hầu hết các nhà sản xuất ô tô đều có ứng dụng riêng cho ô tô của họ, thì những ứng dụng do nhà phát triển ứng dụng di động bên thứ ba thiết kế lại rất được người dùng ưa chuộng vì chúng cũng có thể cung cấp các tính năng độc đáo chưa được nhà sản xuất ô tô giới thiệu.
Các ứng dụng của bên thứ ba được Kaspersky phân tích bao gồm hầu hết các thương hiệu xe lớn, đáng chú ý nhất là Tesla, Nissan, Renault, Ford và Volkswagen, được kiểm soát bởi các ứng dụng đó. Các nhà nghiên cứu của Kaspersky chỉ ra rằng những ứng dụng này không hoàn toàn an toàn khi sử dụng.
Ứng dụng ô tô của bên thứ ba gây ra rủi ro đáng kể về quyền riêng tư
Các chuyên gia của Kaspersky đã xem xét 69 ứng dụng của bên thứ ba được thiết kế cho các phương tiện được kết nối và xác định những rủi ro chính về quyền riêng tư mà người lái xe có thể gặp phải khi sử dụng chúng. Các cuộc điều tra cho thấy hơn một nửa số ứng dụng (58%) không cảnh báo về những rủi ro khi sử dụng dịch vụ của nhà sản xuất ô tô ban đầu thông qua tài khoản người dùng của họ. Một số nhà phát triển đề xuất sử dụng mã thông báo ủy quyền thay vì tên người dùng và mật khẩu để trông an toàn hơn. Phần quan trọng ở đây là nếu mã thông báo được đề cập bị tịch thu, sẽ có nguy cơ những kẻ độc hại có thể truy cập thông tin nhận dạng và công cụ của nạn nhân. Người dùng cần lưu ý rằng họ tự chịu rủi ro và việc sử dụng mã thông báo ủy quyền không mang lại sự bảo mật hoàn toàn. Mặc dù vậy, chỉ có 19% nhà phát triển đề cập đến nó.
Ngoài ra, 14% ứng dụng không bao gồm thông tin về cách liên hệ với nhà phát triển hoặc cung cấp phản hồi. Điều này khiến bạn không thể báo cáo bất kỳ vấn đề nào hoặc yêu cầu thêm thông tin về chính sách quyền riêng tư của ứng dụng. Việc thiếu thông tin liên hệ chính thức và các trang mạng xã hội cho thấy hầu hết các ứng dụng này đều được phát triển bởi những người đam mê. Đây không hẳn là một điều xấu, nhưng những nhà phát triển như vậy có thể chưa quan tâm đầy đủ đến tính bảo mật của công cụ và dữ liệu của bạn. Trong số 69 ứng dụng, 49 ứng dụng là ứng dụng miễn phí hoặc có tính năng demo. Google Play Store Nó đã được tải xuống 239.000 lần cho đến nay.
Sergey Zorin, Giám đốc An ninh Vận tải tại Kaspersky, cho biết: “Lợi ích của một thế giới được kết nối là rất lớn. Tuy nhiên, điều quan trọng cần lưu ý là đây vẫn là lĩnh vực mới nổi và ẩn chứa những rủi ro nhất định. Khi tải xuống ứng dụng của bên thứ ba để điều khiển ô tô từ xa, người dùng nên lưu ý các mối đe dọa tiềm ẩn. Chúng tôi giao phó nhiều thông tin cá nhân và dữ liệu cá nhân cho các công nghệ được kết nối. Thật không may, không phải tất cả các nhà phát triển đều có cách tiếp cận có trách nhiệm khi thu thập và lưu trữ dữ liệu, khiến người dùng tiết lộ thông tin cá nhân của họ. Dữ liệu này sau đó có thể được bán trên web đen và rơi vào tay những kẻ không đáng tin cậy. Ngoài ra, tội phạm mạng không chỉ đánh cắp dữ liệu và thông tin nhận dạng cá nhân của bạn, chúng còn có thể truy cập vào phương tiện của bạn và gây ra các mối đe dọa vật lý. Đó là lý do tại sao Kaspersky kêu gọi các nhà phát triển ứng dụng ưu tiên bảo vệ người dùng và hành động để tránh khiến khách hàng và chính họ gặp nguy hiểm.”
Để biết thêm thông tin về các rủi ro do phần mềm của bên thứ ba gây ra cho các phương tiện được kết nối danh sách bảo mật.com địa chỉ có thể được truy cập.
Đối với các nhà phát triển ứng dụng, các chuyên gia của Kaspersky khuyến nghị những khuyến nghị sau:
- Các ứng dụng cần được kiểm tra trong quá trình phát triển cốt lõi, các lỗ hổng cần được quét trước khi triển khai. Các nhà cung cấp dịch vụ phải được kiểm tra an ninh thường xuyên và áp dụng các giải pháp bảo vệ cơ sở hạ tầng sản xuất khỏi phần mềm độc hại và bảo mật quy trình phát triển phần mềm. Các cuộc tấn công chuỗi cung ứng thông qua các điểm nóng công cộng gần đây đã xảy ra phổ biến hơn Vì vậy, quá trình phát triển cần được tăng cường bảo vệ chống lại sự can thiệp từ bên ngoài.
- Bảo mật đám mây kết hợp của Kasperskylà giải pháp đáp ứng được nhu cầu bảo mật của các nhà phát triển. Docker và Windows và cung cấp cách tiếp cận “bảo mật dưới dạng mã” với khả năng bảo vệ bộ nhớ máy chủ vùng chứa, các tác vụ dành cho vật mang, quét hình ảnh và giao diện có thể viết được tập lệnh. Do đó, các tác vụ bảo mật có thể được tích hợp vào quy trình CI/CD mà không ảnh hưởng đến quá trình phát triển.
- SDK di động của Kasperskycung cấp khả năng bảo vệ dữ liệu cho khách hàng cũng như phát hiện phần mềm độc hại, kết nối an toàn, v.v.
Các chuyên gia của Kaspersky khuyên người dùng::
- Chỉ một Apple App Store, Google Play hoặc Amazon Ứng dụng phải được tải xuống từ các cửa hàng chính thức như Appstore. Mặc dù các ứng dụng ở những thị trường này không an toàn 100% nhưng ít nhất chúng được kiểm soát bởi đại diện cửa hàng và có sẵn hệ thống lọc. Vì vậy không phải ứng dụng nào cũng có thể vào được các cửa hàng này.
- Cần cân nhắc trước khi cho phép giao dịch, đặc biệt khi liên quan đến các quyền có rủi ro cao như truy cập các dịch vụ trợ năng. Ví dụ: quyền duy nhất mà ứng dụng đèn pin cần là quyền truy cập vào chức năng đèn pin.
- Một công cụ đáng tin cậy giúp phát hiện các ứng dụng và phần mềm quảng cáo độc hại. giải pháp an ninh nên được sử dụng.
- Hệ điều hành và tất cả phần mềm phải được cập nhật thường xuyên. Nhiều vấn đề bảo mật có thể được giải quyết bằng cách cài đặt các phiên bản cập nhật của phần mềm.
