Auto Hyundai “hackerata”

La chiave privata degli aggiornamenti si trova con Google.



[ZEUS News - www.zeusnews.it - 31-08-2022]

ep740 hyundai hacked

Le chiavi di cifratura e di protezione del software della Hyundai Ioniq SEL sono pubblicamente disponibili con una semplice ricerca in Google. Lo ha scoperto Daniel Feldman, un ingegnere informatico di Minneapolis, negli Stati Uniti, che con questa chiave è riuscito a hackerare il sistema di informazione e intrattenimento o infotainment della propria vettura.

Feldman racconta nel proprio blog che la sua auto, un'ibrida del 2021, è dotata di un sistema di infotainment, appunto, che funziona adeguatamente, ma lui voleva vedere se era possibile personalizzarlo, e così ha scoperto che esistono già vari modi non ufficiali, ovviamente ad alto rischio, per entrare nella modalità manutenzione e installare applicazioni. Il sistema, infatti, è basato su Android e quindi accetta quasi qualunque applicazione realizzata per questo sistema operativo. A quanto pare, la password di accesso a questa modalità manutenzione è definita usando una tecnica piuttosto originale: è semplicemente composta dalle quattro cifre dell'ora e del minuto indicati dall'orologio di bordo.

Ma Feldman voleva fare di più: voleva scoprire se era possibile creare degli aggiornamenti personalizzati del firmware, ossia del software di base del sistema di infotainment. Gli aggiornamenti ufficiali, diffusi da Hyundai Mobis, sono distribuiti all'interno di un file ZIP protetto da una password e sono cifrati e anche firmati digitalmente. Sembrerebbe una tripla protezione più che ragionevole, ma purtroppo qualcuno in Hyundai ha commesso una serie di errori davvero imbarazzante.

Per prima cosa, Feldman è riuscito a scavalcare la password del file ZIP e a estrarne i contenuti; i dettagli della tecnica che ha usato sono nel suo blog. Per la cifratura degli aggiornamenti, ha trovato la chiave di decrittazione direttamente nel file ZIP. Due ostacoli su tre erano quindi rimossi.

Ma c'era ancora la firma digitale, ossia la protezione che consente di installare soltanto software che sia stato firmato e garantito usando una chiave segreta in due parti, una pubblica e una privata, nota soltanto ai tecnici di Hyundai Mobis. Senza quella chiave, Feldman era a un punto morto. È qui che ha avuto un'ispirazione molto felice.

Per verificare che nessun altro avesse già ottenuto i suoi stessi risultati, ha provato a cercare in Google la chiave di cifratura che aveva scoperto. E Google gli ha fatto scoprire che la chiave usata da Hyundai era quella usata come esempio nei manuali pubblici di crittografia (come il documento NIST SP800-38A). Era insomma come scoprire che i tecnici di Hyundai Mobis avevano "protetto" (si fa per dire) il proprio software usando la password pippo che si usa sempre nei tutorial e che conoscono tutti.

Ma non è finita qui. Frugando all'interno del software originale, l'ingegnere informatico ha scoperto che quel software conteneva la parte pubblica della chiave di firma digitale. Ispirato dall'errore precedente dei tecnici Hyundai, ha provato a cercare su Google una porzione di questa chiave, e ha scoperto che anche stavolta i tecnici avevano usato una chiave di firma digitale che è presente negli esempi dei tutorial, quelli che spiegano come firmare digitalmente qualunque file. E quei tutorial, ovviamente, includono anche la chiave privata corrispondente.

In altre parole: Hyundai ha usato una chiave privata di firma digitale presa da un tutorial e ha messo la chiave pubblica corrispondente nel proprio software. E così è emerso che tutto il suo castello di protezioni risulta essere fondato sull'argilla, e Feldman è riuscito a installare del software (più precisamente del firmware) scritto da lui sulla propria auto, come descrive in due altri articoli (primo, secondo). Missione compiuta, insomma.

Morale della storia: la sicurezza nel software non è cosa che si improvvisa. I protocolli e gli standard possono essere anche robustissimi e matematicamente inespugnabili, ma l'errore umano, o in questo caso la pigrizia di chi ha usato una chiave di firma digitale presa di peso da un tutorial, è sempre in agguato. Conviene ricordarlo quando qualche azienda, anche al di fuori del settore automobilistico, si vanta di usare i software di crittografia più sofisticati. Se li usa un pasticcione, sforneranno pasticci.

Fonte aggiuntiva: The Register.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (3)

Sembra quasi che quelli di Hyundai volessero vedere quanto ci metteva qualcuno ad hackerarlo il SW... :roll:
4-9-2022 15:16

A me francamente sembra che l'hacker abbia fatto un gran lavoro per raggiungere il risultato. Molte cose non sono poi così intuitive. Certamente il produttore ha commesso delle ingenuità, ma s'è visto ben di peggio in giro. Come ad esempio, il fatto che l'hacker stesso usasse Windows :jump:
2-9-2022 14:17

Anche se il software di infotainment dell'auto non controlla parti vitali del veicolo come freni, accelleratore, airbag, e comunque una situazione non solo sgradevole ma pericolosa, che una casas costrutrice di automobili, non può assolutamente permettersi. La superficiale incompetenza dimostrata in questo caso non ha la minima scusante,... Leggi tutto
2-9-2022 13:23

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Stai creando un nuovo account su un sito. Come sarà la tua password?
Ho una sola password per tutti i miei account
Ho varie password che uso a rotazione quando devo creare un nuovo account
Ho un template per le password che modifico per ogni account
Creo una nuova password, assicurandomi che sia robusta

Mostra i risultati (1649 voti)
Settembre 2022
Google ti avvisa se i tuoi dati finiscono nel web
La “tanica di benzina” per le auto elettriche
La strana storia dell'utente HME2 di Arpanet
LibreOffice diventa a pagamento
2022, fuga dall'open source
Dati a spasso nel cloud
Di chi sono i tuoi dati quando muori?
Smartphone, l'UE vuole pezzi di ricambio disponibili per almeno 5 anni
Ex designer di Microsoft demolisce il menu Start di Windows 11
Auto Hyundai “hackerata”
Agosto 2022
Genitori indagati dopo aver mandato foto dei figli ai medici
DuckDuckGo, la protezione delle email è per tutti
Il computer portatile economico che fa a meno del monitor
Microsoft avvisa: attenzione all'aggiornamento KB501270
WhatsApp, arriva il blocco degli screenshot
Tutti gli Arretrati
Accadde oggi - 2 ottobre


web metrics