La investigación descubrió que cada una de las aplicaciones examinadas contenía varios problemas de seguridad.
Los investigadores de Kaspersky Lab probaron siete aplicaciones para el control a distancia de automóviles que han sido desarrolladas por algunos de los principales fabricantes a fin de descubrir las falencias de seguridad que contienen y que, de acuerdo a estadísticas de Google Play, han sido descargadas decenas de miles de veces.
Se descubrió que no hay defensa contra la ingeniería inversa de la aplicación. Como resultado, usuarios malintencionados pueden entender cómo funciona esta y buscar una vulnerabilidad que les permita obtener acceso a la infraestructura del servidor o al sistema multimedios del automóvil.
También descubrieron que no hay verificación de la integridad del código, lo cual permite a los delincuentes incorporar su propio código en la aplicación y reemplazar el programa original por uno falso. Además, no hay técnicas para detectar un rooting; los permisos de root le dan a los troyanos casi infinitas posibilidades y dejan indefensa a la aplicación.
De igual forma, vieron que no existe protección contra las técnicas de superposición de aplicaciones, lo cual ayuda a las apps maliciosas a mostrar ventanas de phishing y a robar las credenciales de los usuarios. Así como el almacenamiento de inicios de sesión y contraseñas en texto sin formato, por medio de esta debilidad, un criminal puede robar los datos de los usuarios con relativa facilidad.
Después de un ataque exitoso, un cibercriminal puede ganar control sobre el automóvil, desbloquear las puertas, apagar la alarma de seguridad y, teóricamente, robar el vehículo.
Para proteger los automóviles y los datos privados, los investigadores de Kaspersky Lab aconsejan no hacer root en el dispositivo Android, ya que esto abrirá posibilidades casi ilimitadas a las aplicaciones maliciosas; desactivar la posibilidad de instalar aplicaciones de fuentes que no sean las de las tiendas oficiales; mantener actualizada la versión del sistema operativo del dispositivo para reducir las vulnerabilidades del software y el riesgo de ataque; e instalar una solución de seguridad probada.