Auto Hyundai “hackerata”

La chiave privata degli aggiornamenti si trova con Google.



[ZEUS News - www.zeusnews.it - 26-08-2022]

ep740 hyundai hacked

Le chiavi di cifratura e di protezione del software della Hyundai Ioniq SEL sono pubblicamente disponibili con una semplice ricerca in Google. Lo ha scoperto Daniel Feldman, un ingegnere informatico di Minneapolis, negli Stati Uniti, che con questa chiave è riuscito a hackerare il sistema di informazione e intrattenimento o infotainment della propria vettura.

Feldman racconta nel proprio blog che la sua auto, un'ibrida del 2021, è dotata di un sistema di infotainment, appunto, che funziona adeguatamente, ma lui voleva vedere se era possibile personalizzarlo, e così ha scoperto che esistono già vari modi non ufficiali, ovviamente ad alto rischio, per entrare nella modalità manutenzione e installare applicazioni. Il sistema, infatti, è basato su Android e quindi accetta quasi qualunque applicazione realizzata per questo sistema operativo. A quanto pare, la password di accesso a questa modalità manutenzione è definita usando una tecnica piuttosto originale: è semplicemente composta dalle quattro cifre dell'ora e del minuto indicati dall'orologio di bordo.

Ma Feldman voleva fare di più: voleva scoprire se era possibile creare degli aggiornamenti personalizzati del firmware, ossia del software di base del sistema di infotainment. Gli aggiornamenti ufficiali, diffusi da Hyundai Mobis, sono distribuiti all'interno di un file ZIP protetto da una password e sono cifrati e anche firmati digitalmente. Sembrerebbe una tripla protezione più che ragionevole, ma purtroppo qualcuno in Hyundai ha commesso una serie di errori davvero imbarazzante.

Per prima cosa, Feldman è riuscito a scavalcare la password del file ZIP e a estrarne i contenuti; i dettagli della tecnica che ha usato sono nel suo blog. Per la cifratura degli aggiornamenti, ha trovato la chiave di decrittazione direttamente nel file ZIP. Due ostacoli su tre erano quindi rimossi.

Ma c'era ancora la firma digitale, ossia la protezione che consente di installare soltanto software che sia stato firmato e garantito usando una chiave segreta in due parti, una pubblica e una privata, nota soltanto ai tecnici di Hyundai Mobis. Senza quella chiave, Feldman era a un punto morto. È qui che ha avuto un'ispirazione molto felice.

Per verificare che nessun altro avesse già ottenuto i suoi stessi risultati, ha provato a cercare in Google la chiave di cifratura che aveva scoperto. E Google gli ha fatto scoprire che la chiave usata da Hyundai era quella usata come esempio nei manuali pubblici di crittografia (come il documento NIST SP800-38A). Era insomma come scoprire che i tecnici di Hyundai Mobis avevano "protetto" (si fa per dire) il proprio software usando la password pippo che si usa sempre nei tutorial e che conoscono tutti.

Ma non è finita qui. Frugando all'interno del software originale, l'ingegnere informatico ha scoperto che quel software conteneva la parte pubblica della chiave di firma digitale. Ispirato dall'errore precedente dei tecnici Hyundai, ha provato a cercare su Google una porzione di questa chiave, e ha scoperto che anche stavolta i tecnici avevano usato una chiave di firma digitale che è presente negli esempi dei tutorial, quelli che spiegano come firmare digitalmente qualunque file. E quei tutorial, ovviamente, includono anche la chiave privata corrispondente.

In altre parole: Hyundai ha usato una chiave privata di firma digitale presa da un tutorial e ha messo la chiave pubblica corrispondente nel proprio software. E così è emerso che tutto il suo castello di protezioni risulta essere fondato sull'argilla, e Feldman è riuscito a installare del software (più precisamente del firmware) scritto da lui sulla propria auto, come descrive in due altri articoli (primo, secondo). Missione compiuta, insomma.

Morale della storia: la sicurezza nel software non è cosa che si improvvisa. I protocolli e gli standard possono essere anche robustissimi e matematicamente inespugnabili, ma l'errore umano, o in questo caso la pigrizia di chi ha usato una chiave di firma digitale presa di peso da un tutorial, è sempre in agguato. Conviene ricordarlo quando qualche azienda, anche al di fuori del settore automobilistico, si vanta di usare i software di crittografia più sofisticati. Se li usa un pasticcione, sforneranno pasticci.

Fonte aggiuntiva: The Register.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (3)

Sembra quasi che quelli di Hyundai volessero vedere quanto ci metteva qualcuno ad hackerarlo il SW... :roll:
4-9-2022 15:16

A me francamente sembra che l'hacker abbia fatto un gran lavoro per raggiungere il risultato. Molte cose non sono poi così intuitive. Certamente il produttore ha commesso delle ingenuità, ma s'è visto ben di peggio in giro. Come ad esempio, il fatto che l'hacker stesso usasse Windows :jump:
2-9-2022 14:17

Anche se il software di infotainment dell'auto non controlla parti vitali del veicolo come freni, accelleratore, airbag, e comunque una situazione non solo sgradevole ma pericolosa, che una casas costrutrice di automobili, non può assolutamente permettersi. La superficiale incompetenza dimostrata in questo caso non ha la minima scusante,... Leggi tutto
2-9-2022 13:23

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quale di questi dispositivi degni di un film di fantascienza ma già esistenti vorresti avere?
Erascan: un cancellino per lavagne bianche in grado di effettuare una scansione con OCR di tutto ciò che cancella.
Tamaggo Ibi: una videocamera con lente circolare in grado di scattare foto a 360 gradi.
No More Woof: legge le onde cerebrali dei cani e traduce i pensieri in linguaggio umano.
Il drone per le consegne Amazon Prime Air: consegnerà i pacchi volando, rendendo obsoleti i corrieri.
WAT: la lampada alimentata ad acqua.
Transparent TV: grazie alla tecnologia TOLED (LED Organici Trasparenti) è dotato di uno schermo praticamente invisibile.
Electrolux Wirio, la cucina trasportabile composta da quattro diversi elementi, per cucinare e tenere in caldo i cibi.
Touch Hear, per toccare con un dito una parola stampata e ascoltare la pronuncia e il significato.
Immersed Senses, una maschera per sub che estrae ossigeno dall'acqua ed è dotata di schermo per mostrare informazioni utili.
La maniglia che si sterilizza da sola grazie a una lampada integrata a raggi ultravioletti.
Heart Rate Monitor Earphone, gli auricolari che rilevano il battito cardiaco e il consumo di ossigeno.
Voyce, il collare per cani che misura il battito cardiaco e il ritrmo respiratorio, conta le calorie e indica se l'animale non fa abbastanza esercizio.
Makerbot Z18, una stampante 3D che funge da replicatore per oggetti voluminosi.

Mostra i risultati (1868 voti)
Settembre 2025
Intelligenza artificiale per le automobili, licenziati 54 ricercatori a Torino
Dolcificanti a zero calorie e declino cognitivo: una ricerca brasiliana scopre un preoccupante legame
WinToUSB trasforma una chiavetta USB in un sistema Windows perfettamente funzionante
Meta accede a tutto il rullino fotografico senza permesso. Ma disattivare si può: ecco come
Agosto 2025
Google, stop all'obbligo di usare Gmail per gli account Android
Browser IA, l'allarme di Malwarebytes: ingannare gli assistenti e rubare dati è fin troppo semplice
Lo script che estende gli aggiornamenti di sicurezza di Windows 10 anche senza account Microsoft
La Danimarca saluta la posta cartacea: la consegna delle lettere terminerà alla fine dell'anno
PayPal, allarme sicurezza: i dati di 15,8 milioni di account in vendita sul dark web
Volkswagen, microtransazioni nelle auto: per utilizzare tutti i cavalli bisogna abbonarsi
Windows 11 24H2, dopo l'aggiornamento i dischi scompaiono. E i dati possono corrompersi
Microsoft fagocita GitHub: fine dell'indipendenza dopo sette anni. Futuro nella IA
Chiede a ChatGPT come sostituire il sale, finisce in ospedale con una malattia di cent'anni fa
Windows 2030, addio a mouse e tastiera: farà tutto la IA
La bolla finanziaria degli LLM
Tutti gli Arretrati
Accadde oggi - 9 settembre


web metrics