Gli specialisti in sicurezza informatica di Pen Test Partners sono riusciti a prendere il controllo di un’auto mediante il suo allarme antifurto. I sistemi hackerati dai ricercatori, Pandora e SmartStart di Viper, tra l’altro, sono molto comuni: i ricercatori hanno calcolato che ci sono circa 3 milioni di auto su cui sono stati installati questi modelli di antifurto.
Comodi, sì… ma sono anche sicuri?
In teoria, i sistemi antifurto intelligenti hanno tante altre funzionalità, e possono prestare aiuto anche quando il veicolo è già stato rubato. Ad esempio, possono rintracciare l’auto, spegnere il motore e bloccare le portiere in attesa che arrivi la polizia. E il tutto grazie a un’app installata sullo smartphone. Comodo, vero? Sicuramente sì! Ma è altrettanto sicuro? In base a quanto affermato dalle case produttrici, questi sistemi sono stati progettati per garantire la sicurezza dei veicoli più e più volte nel tempo.
E invece per i cybercriminali in palio non c’è solo la vostra automobile.
Dopo essersi appropriati del vostro account ed essersi collegati alla app al posto vostro, i cybercriminali ottengono l’accesso a una grande quantità di dati e a tutte le funzionalità dell’antifurto intelligente. Non devono fare altro che cambiare la password e sarete fuori dal vostro stesso sistema di allarme.
Così i cybercriminali potranno:
- Rintracciare tutti i movimenti del veicolo;
- Attivare e disattivare il sistema antifurto;
- Aprire o bloccare la sicurezza delle portiere;
- Attivare o disattivare il tool antifurto che blocca il motore;
- Spegnere il motore, in alcuni casi anche quando l’auto è in movimento.
Nel caso degli antifurti Pandora, i cybercriminali possono anche ascoltare le conversazioni che avvengono all’interno dell’abitacolo mediante il microfono del sistema antifurto, che dovrebbe servire invece per le chiamate di emergenza. Ricordiamo che, una volta che i cybercriminali hanno avuto accesso al sistema, non potrete far nulla per contrastare ciò che fanno. Spiacevole, vero?
Hackeraggio “smart” in pochi secondi
Il team di ricercatori ha scoperto non solo che è possibile appropriarsi dell’account del sistema antifurto, ma che è possibile farlo anche con una certa facilità. Per rubare un account Viper o Pandora, non è nemmeno necessario acquistare l’antifurto (che costa ben 5 mila dollari). Nel momento in cui è stato effettuato lo studio, per ottenere l’accesso al sistema bisognava soltanto registrare un account sul sito o sulla app, per poi ottenere accesso a qualsiasi altro account.
I problemi riscontrati in entrambi i sistemi sono simili, e riguardano il modo in cui l’app interagisce con il server, anche se la tecnica d’attacco è leggermente diversa. Nel caso di Viper, l’intruso può cambiare le credenziali di qualsiasi utente inviando una richiesta speciale al server su cui sono custoditi i dati.
Il sistema di Pandora è un po’ più selettivo, non permette proprio a tutti di resettare la password; in ogni caso, un cybercriminale può modificare senza aver bisogno di autorizzazioni l’indirizzo e-mail collegato al profilo per poi richiedere in modo legittimo (almeno dal punto di vista del sistema) il cambio della password.
Cosa si può fare?
Innanzitutto, niente panico. I ricercatori, naturalmente, hanno già informato la casa produttrice di quanto hanno scoperto. La risposta è stata tempestiva e tutti le falle sono state risolte nel giro di pochi giorni.
Tuttavia, prima dello studio, i veicoli dotati di antifurto intelligente erano obiettivamente meno sicuri rispetto alle altre vetture. Ttti gli sviluppatori di dispositivi IoT dovrebbero reagire con la stessa solerzia ed efficienza ai consigli degli esperti in cybersicurezza. La nostra raccomandazione, come sempre, è di andarci con i piedi di piombo quando si ha a che fare con le soluzioni smart, soprattutto quando c’è in gioco la sicurezza.