Android per le automobili: connessione sicura?

I ricercatori di Kaspersky Lab comunicano le vulnerabilità nelle app delle automobili connesse.

Nel film Fatti, strafatti e strafighe (titolo originale: Dude, Where’s My Car?) del 2000, gli spettatori seguono le vicissitudini comiche di due ragazzi che dopo essersela spassata un po’ troppo cercano di ricordarsi dove avevano parcheggiato l’auto. Ci siamo trovati tutti in questa situazione (beh, non proprio come in quella dei protagonisti del film, ma alzate la mano se qualche volta anche voi vi siete dimenticati dove avevate parcheggiato l’auto mentre eravate a un concerto, al centro commerciale o al supermercato).

Android for cars: Secure connection?

Facciamo un salto in avanti di 17 anni e troviamo app per davvero qualsiasi cosa (anche per la vostra automobile). Se un’app potrebbe far parte facilmente della vostra vita, c’è la possibilità che qualcuno la sviluppi e che tante persone inizino ad usarla.

Negli ultimi anni, il concetto di automobile connessa ha continuato a evolversi (ed è diventato realtà). Nella conferenza RSA di quest’anno che si è tenuta a San Francisco, i nostri ricercatori anti-malware Victor Chebyshev e Mikhail Kuzin hanno presentato una ricerca che hanno effettuato su sette app famose per vetture.

Le app sembrano rendere più facile la vita degli utenti, collegando i dispositivi Android alle proprie automobili. Noi però vi chiediamo: investiamo sulla sicurezza per comodità? Così come per molti dispositivi connessi dell’Internet delle cose, la risposta è che la sicurezza deve diventare una priorità sia per gli sviluppatori che per i produttori.

The apps seem to make users' lives easier by linking their Android devices to their automobiles, but we have ask: Are we trading security for convenience?

Le funzioni principali di queste app sono aprire le portiere e in molti casi mettere in moto l’auto. Sfortunatamente, gli hacker possono approfittarsi delle falle nelle app:

Nessuna protezione contro il processo di reverse engineering dell’applicazione. Di conseguenza, i criminali possono cercare e trovare le vulnerabilità che danno accesso all’infrastruttura di server side o al sistema multimediale dell’automobile.
Nessun controllo di integrità. Questo permette ai criminali di incorporare il proprio codice nell’app, aggiungendo funzionalità pericolose e sostituendo il programma originale con uno falso sul dispositivo dell’utente.
Nessuna tecnica di rilevamento dei root. I permessi di root forniscono ai Trojan infinite funzionalità e privano l’app di qualsiasi difesa.
Mancanza di protezione contro le tecniche di overlay. Questo permette alle app dannose di mostrare finestre di phishing sulla finestra originale dell’app, ingannando gli utenti e facendo inserire loro le credenziali nella finestra che invia tutte le informazioni ai criminali.
Memorizzazione di login e password in plain text. Utilizzando questa debolezza, un criminale è in grado di rubare facilmente i dati degli utenti.

Se utilizza l’app in maniera corretta, un hacker può prendere il controllo dell’auto, sbloccare le portiere, disattivare l’allarme e in teoria anche rubare il veicolo.

I ricercatori hanno comunicato le loro scoperte agli sviluppatori (non hanno rivelato i nomi delle app) e hanno detto loro che non avevano notato alcun utilizzo di app in questo ambito. Potete trovare un report completo e dettagliato al riguardo sul sito Securelist, in cui si valuta ogni app.

È facile nascondersi dietro un dito, pensando che non subirete mai un attacco hacker o che si tratta di fantascienza; la verità però è che dopo questa invenzione, le automobili sono diventate gli obiettivi dei criminali. E se un attacco informatico rende tutto più facile, immaginate tutte le possibilità che ci sono.

Un’altra cosa da tenere presente è che abbiamo già visto che le vulnerabilità consentono agli astuti hacker white hat di passare dalla “vulnerabilità benigna” al controllo dell’auto. Negli ultimi due anni abbiamo sentito parlare di due grandi storie del settore automobilistico in cui si spiegava come Charlie Miller e Chris Valasek avevano preso il controllo di una Jeep grazie alle vulnerabilità di questa.

Infine, la sicurezza personale e l’uso delle app si riducono sempre alle preferenze personali. Dipende da noi con chi condividiamo i nostri dati o a chi ci affidiamo per ottenere il massimo confort. Inoltre, con i dispositivi e le app dell’Internet delle cose, troppo spesso si pensa prima alla comodità che alla sicurezza.

Per concludere, Chebyshev afferma:

“Le applicazioni per le automobili connesse non sono pronte ad affrontare gli attacchi malware. Ci aspettiamo che i produttori di auto dovranno prendere la stessa strada già intrapresa dalle banche con le loro applicazioni… Dopo diversi casi di attacchi alle app bancarie, molte banche hanno migliorato la sicurezza dei loro prodotti.

Fortunatamente, non abbiamo ancora rilevato nessun caso di attacco alle applicazioni per le automobili; questo vuol dire che i fornitori di automobili hanno ancora tempo per fare bene le cose. Quanto tempo abbiano esattamente non si può ancora sapere. I Trojan moderni sono davvero molto flessibili (un giorno si comportano come normali adware e quello dopo possono scaricare una nuova configurazione, facendo in modo che sia possibile prendere di mira nuove app). La superficie di attacco è davvero enorme.”

Consigli