Chi controlla la tua macchina a tua insaputa?

I pericoli intrinseci delle auto connesse a Internet.



[ZEUS News - www.zeusnews.it - 23-02-2017]

cars research en 9

Negli ultimi anni, le automobili sono diventate sempre più connesse. Questa connessione include non solo i sistemi di infotainment, ma anche aspetti critici dei sistemi dei veicoli, come la chiusura delle porte e l'accensione, che sono ora disponibili online.

Con l'aiuto delle applicazioni mobile, è ora possibile ottenere le coordinate di posizione del veicolo e il suo percorso, aprire le porte, avviare il motore e controllare i dispositivi in-car aggiuntivi. Da un lato, si tratta di funzioni estremamente utili, mentre dall'altro viene spontaneo chiedersi come le case di produzione proteggano queste app dal rischio di cyber attacchi.

Con l'obiettivo di scoprirlo, i ricercatori di Kaspersky Lab hanno testato sette applicazioni per il controllo da remoto delle auto sviluppate dalle principali case automobilistiche e che, secondo le statistiche di Google Play, sono state scaricate decine di migliaia di volte, raggiungendo in alcuni casi anche cinque milioni di download. La ricerca ha rivelato che ognuna delle app esaminate conteneva diversi problemi di sicurezza.

La lista dei problemi di sicurezza include:

- Nessuna difesa dal reverse engineering dell'applicazione. Di conseguenza, i cyber criminali possono capire come funziona l'app e trovare una vulnerabilità che permetta loro di ottenere l'accesso all'infrastruttura lato server o al sistema multimediale dell'auto.

- Nessun controllo dell'integrità del codice, caratteristica che permette ai criminali di inserire il proprio codice nell'app e sostituire il programma originale con uno falso.

- Nessuna tecnica di rilevamento del rooting. I permessi di root forniscono ai Trojan capacità quasi illimitate e lasciano l'app senza difese.

- Assenza di protezione da tecniche di overlay delle app. In questo modo, le app dannose riescono a mostrare schermate di phishing e a rubare le credenziali degli utenti.

- Username e password archiviate con testo in chiaro. Usando questa debolezza, un criminale può rubare i dati dell'utente in maniera relativamente facile.

In caso di attacco andato a buon fine, un cyber criminale può controllare la macchina, sbloccare le porte, spegnere l'allarme di sicurezza e, teoricamente, rubare il veicolo.

Sondaggio
Secondo te, come bisogna definire chi commette intrusioni informatiche?
un hacker
un cracker
un grissino

Mostra i risultati (4030 voti)
Leggi i commenti (108)

In ogni caso il vettore di attacco richiederebbe una preparazione aggiuntiva, come indurre i proprietari delle applicazioni a installare specifiche app dannose appositamente sviluppate in grado di ottenere i permessi di root del dispositivo e accedere alle applicazioni dell'auto. Tuttavia, è improbabile che questo rappresenti un problema per criminali esperti in tecniche di social engineering nel caso in cui decidessero di colpire i proprietari delle auto connesse.

Zeus News ha parlato con Victor Chebyshev, esperto in sicurezza di Kaspersky Lab.

ZN: "Quanto è reale il pericolo di un attacco malware per le auto connesse?"

Victor Chebyshev: "Allo stato attuale, le applicazioni per le auto connesse non sono pronte a resistere agli attacchi malware. Pensando alla sicurezza delle auto connesse, non bisognerebbe considerare solo la protezione dell'infrastruttura lato server. Secondo noi, le case automobilistiche dovranno percorrere la stessa strada già intrapresa dalle banche con le loro applicazioni."

ZN: "E quale sarebbe questa strada?"

Victor Chebyshev: "All'inizio, infatti, le app per l'online banking non avevano tutte le funzioni di sicurezza elencate nella nostra ricerca. Ora, dopo molti casi di attacco alle applicazioni per il mobile banking, molte banche hanno migliorato la sicurezza dei loro prodotti. Fortunatamente, non abbiamo ancora individuato nessun caso di attacco alle applicazioni per le macchine, il che significa che i produttori di automobili hanno ancora tempo per migliorare la situazione."

ZN: "Possiamo quindi stare relativamente tranquilli, almeno per ora?"

Victor Chebyshev: "Al contrario. Non è possibile sapere quanto tempo abbiano. I Trojan attuali sono molto flessibili: un giorno possono comportarsi come normali adware e il giorno dopo possono facilmente scaricare una nuova configurazione che permette loro di colpire nuove app. In questo caso, il campo d'attacco è molto vasto."

Consigliamo agli utenti delle app per le auto connesse di seguire le seguenti regole per proteggere le auto e le informazioni personali da possibili cyber attacchi:

- Non eseguire il root dei propri dispositivi Android. Questo concederebbe possibilità pressoché illimitate alle app nocive.

- Disattivare la possibilità di installare applicazioni da fonti diverse dall'app store ufficiale.

- Tenere il sistema operativo aggiornato alla versione più recente per ridurre le vulnerabilità del software e diminuire il rischio di attacco.

- Installare una soluzione di sicurezza affidabile per proteggere il dispositivo dai cyber attacchi.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) sotto o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (5)

Google rilascia tutti i mesi le patch di sicurezza per i dispositivi Android - fortunatamente senza le tristi vicissitudini di M$ citate da Zio_LoneWolf - il problema che queste patch vengono installate immediatamente sui dispositivi con Android puro (i Nexus ad esempio) ma per essere installate sui dispositivi con SO personalizzati... Leggi tutto
26-2-2017 17:45

{Marco Verdi}
Allora mi ritengo molto fortunato che Toyota non abbia nessun tipo di controllo a distanza per le proprie auto, anche quelle nuove
23-2-2017 15:47

Windows update di Microsoft? Quello che di recente ha creato un mare di problemi su Seven? :) Parliamoci chiaro: esiste da decenni un sistema di aggiornamento online di sistemi operativi ed applicazioni che funziona alla grande: quello dei repository, su cui si basano praticamente TUTTE le distribuzioni di Linux. Proprio non... Leggi tutto
23-2-2017 08:53

Se i produttori di device Android rilasciassero gli aggiornamenti per un periodo adeguato non sarebbe difficile per gli utenti mantenere il so aggiornato Ma anche Google potrebbe implementare un sistema di aggiornamenti di Android tipo il Windows update di MS, almeno per quanto riguarda gli aspetti della sicurezza Leggi tutto
23-2-2017 07:54

{oriega}
E' proprio difficile da capire, per un profano dei sistemi automobilistici come me, come sia possibile immettere in commercio un'auto con software non sicuro, a maggior ragione perché ci sono le omologazioni nazionali, e quindi questo implica che sia i progettisti che gli omologatori non ne capiscano di sicurezza, e... Leggi tutto
22-2-2017 11:20

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News (P.Iva 06584100967). Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Qual il prodotto che pi ti attira tra questi?
Un lettore di ebook
Uno smartphone di ultima generazione
Un tablet o pad
Un navigatore satellitare
Un lettore Mp3 e/o video (portatile o da salotto)

Mostra i risultati (4298 voti)
Luglio 2017
L'antivirus gratuito di Kaspersky
Adobe annuncia la morte di Flash
In arrivo Play Protect, ''antivirus'' di Google per Android
Come violare Facebook con un vecchio numero di telefono
La Camera approva data retention a 6 anni, infilato in emendamento su sicurezza ascensori
Antibufala: il video delle ''scie chimiche'' giganti
Gli autovelox non possono rilevare i veicoli della corsia opposta
TIM chiude il data center di Bari
Addio, Windows Phone 8.1
Usare il font sbagliato può costare il posto. O mandare in carcere
Nascosto ma non troppo: la minaccia occulta della steganografia
Come riconoscere una foto falsa
Buran: gli Shuttle sovietici ripresi di nascosto
Autovelox, via tutte le segnalazioni e gli avvisi
Cosa devono fare gli utenti al più presto
Tutti gli Arretrati


web metrics