Le auto connesse sono sicure?

Kaspersky LabSocietà

Privacy, aggiornamenti software e app mobile car-oriented sono le aree prese di mira dai cybercriminali per attaccare le auto connesse. Kaspersky Lab e IAB hanno realizzato il Primo Studio Annuale delle Auto Connesse. L’obiettivo principale di questo studio è quello di fornire una panoramica del mercato delle auto connesse, combinando tutte le informazioni disponibili per rispondere ad alcune domande cruciali e portare un po’di chiarezza. Vicente Diaz, Principal Security Researcher di Kaspersky Lab, ha portato a termine una roof of concept per analizzare le implicazioni per la sicurezza del collegamento delle vetture a Internet.

Gli automobilisti non possono più ignorare le preoccupazioni dal punto di vista della sicurezza dei servizi di comunicazioni e Internet inclusi nella nuova generazione di vetture “connesse”. La tecnologia nelle auto non si limita più ad essere un aiuto per parcheggiare la vettura in modo sicuro; ora comprende l’accesso ai social network, e-mail, connettività degli smartphone, il calcolo del percorso, le app in-car, ecc Queste tecnologie offrono grandi vantaggi per gli automobilisti, ma portano anche nuovi rischi per gli utenti di oggi. Ecco perché è essenziale analizzare i diversi vettori che potrebbero causare attacchi informatici, incidenti o manutenzione errata del veicolo.

Privacy, aggiornamenti e app per smartphone per queste vetture potrebbe essere trasformata in tre vettori di attacchi separati per i criminali informatici. “Le Auto Connesse possono dare libero accesso alle minacce che da tempo esistono nel mondo dei PC e degli smartphone. Ad esempio, i proprietari di auto connesse potrebbero scoprire che le loro password sono state rubate. Questo potrebbero far si che venga rilevata la posizione del veicolo e che vengano aperte le portiere da remoto. I problemi di privacy sono cruciali e gli automobilisti oggi devono essere consapevoli dei nuovi rischi che semplicemente prima non esistevano”, ha detto Diaz.

La proof of concept di Kaspersky Lab, è stata effettuata analizzando il sistema ConnectedDrive di BMW e sono stati rilevati diversi potenziali vettori di attacco:

Credenziali Rubate: Rubare le credenziali necessarie per accedere al sito web di BMW – con mezzi noti come phishing, keylogger o ingegneria sociale – può portare all’accesso non autorizzato di terzi parti alle informazioni degli utenti e quindi al veicolo stesso. Da qui è possibile installare una app mobile con le stesse credenziali e potenzialmente abilitare servizi remoti prima di aprire la macchina e portarla via.

Application Mobile: Attivando i servizi mobile di apertura a distanza, si crea in pratica un nuovo set di chiavi per l’auto. Se l’applicazione non è sicura, chi ruba il telefono potrebbe ottenere l’accesso al veicolo. Con un telefono rubato sarebbe possibile modificare il database delle applicazioni e bypassare qualsiasi autenticazione tramite PIN, rendendo più facile per un cyber-criminale attivare i servizi remoti.

Aggiornamenti: i driver Bluetooth vengono aggiornati scaricando un file dal sito BMW e installati attraverso una porta USB. Questo file non è crittografato o firmato, e include numerose informazioni sui sistemi interni in esecuzione sul veicolo. Questo potrebbe fornire a un potenziale aggressore l’accesso all’ambiente preso di mira e potrebbe anche essere modificato per eseguire codice dannoso.

Comunicazioni: Alcune funzioni comunicano con la SIM all’interno del veicolo tramite SMS. L’inserimento all’interno di questo canale di comunicazione permette di inviare istruzioni “false”, a seconda del livello di crittografia assicurato dall’operatore. Nel caso peggiore, un criminale potrebbe sostituire per esempio le comunicazioni di BMW con le sue proprie istruzioni e servizi.

hiddenCountTag: 1|||hiddenCountRequest: 0

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *