Come è stato possibile monitorare milioni di Kia

Una vulnerabilità nel portale Web di Kia ha consentito di manomettere le automobili e rintracciarne i proprietari. Il tutto solo con il numero VIN dell’auto o anche solo il numero di targa.

Un gruppo di ricercatori nel campo della sicurezza ha scoperto una grave vulnerabilità nel portale Web della casa automobilistica sudcoreana Kia, sfruttando la quale sarebbe stato possibile hackerare le auto da remoto e rintracciarne i proprietari. Per sferrare l’attacco era sufficiente conoscere la targa dell’auto. Leggi questo articolo per maggiori dettagli.

Automobili oltremodo connesse

Se ci pensiamo, negli ultimi due decenni le auto sono diventate grandi computer su quattro ruote. Anche i modelli meno “smart” sono ricchi di elettronica e dotati di numerosi sensori: ecoscandagli, fotocamere, rilevatori di movimento e GPS, per citarne alcuni.

E non solo: negli ultimi anni questi computer sono costantemente connessi a Internet, con tutti i rischi che ne derivano. Non molto tempo fa abbiamo scritto di come le auto di oggi raccolgono enormi quantità di dati sui loro proprietari e li inviano al produttore. Inoltre, i produttori vendono i dati raccolti anche ad altre aziende, in particolare agli assicuratori.

Ma c’è anche un altro aspetto da considerare: essere costantemente connessi a Internet significa che in caso di vulnerabilità (nell’auto stessa o nel cloud con cui comunica) qualcuno potrebbe manomettere il sistema e rintracciare il proprietario dell’auto all’insaputa del produttore.

Unità principale dell'auto

La cosiddetta “unità principale” di un’auto è solo la punta dell’iceberg: le auto di oggi sono imbottite di elettronica

Un bug per dominarli, un bug per trovarli

È andata proprio così. I ricercatori hanno rilevato una vulnerabilità nel portale Web di Kia, usato da proprietari e rivenditori di veicoli Kia. Si è scoperto che, usando l’API, il portale consentiva a chiunque di registrarsi come concessionario di automobili in poche mosse abbastanza semplici.

Portale Kia per proprietari e rivenditori Kia

Portale Kia in cui è stata rilevata una vulnerabilità grave. Fonte

Questo ha consentito agli hacker di accedere a funzionalità che nemmeno i concessionari di auto dovrebbero avere, almeno non una volta che il veicolo è stato consegnato al cliente. In particolare, il portale consentiva prima di trovare qualsiasi auto Kia e quindi di accedere ai dati del proprietario (nome, numero di telefono, indirizzo e-mail e persino indirizzo di casa) il tutto usando solo il numero VIN del veicolo.

Va notato che i numeri VIN non sono esattamente informazioni segrete: in alcuni paesi sono disponibili al pubblico. Ad esempio, negli Stati Uniti sono disponibili molti servizi online che consentono di cercare un numero VIN usando il numero di targa di un’auto.

Schema: manomissione di un'auto Kia tramite il portale Web [/

Schema generale dell’attacco al portale Web Kia che consente il controllo su qualsiasi auto usando il relativo numero VIN. Fonte

Dopo avere trovato l’auto, un utente malintenzionato può usare i dati del proprietario per registrare per sé un qualsiasi account nel sistema di Kia e fingersi il nuovo utente del veicolo. Da lì, l’utente malintenzionato otterrebbe l’accesso a varie funzioni normalmente disponibili all’effettivo proprietario dell’auto tramite l’app mobile.

La cosa interessante è che tutte queste funzionalità non sarebbero state solo nella disponibilità del concessionario che ha venduto quell’auto, ma di qualsiasi concessionario registrato nel sistema Kia.

Hackerare un’auto in pochi secondi

I ricercatori hanno quindi sviluppato un’app sperimentale in grado di assumere il controllo di qualsiasi veicolo Kia in pochi secondi semplicemente specificando il numero di targa nei campi di immissione. L’app è in grado di trovare automaticamente il VIN dell’auto tramite il servizio pertinente e di usarlo per registrare il veicolo nell’account dei ricercatori.

App sviluppata dai ricercatori per l'hacking delle auto Kia

I ricercatori hanno persino creato una pratica app per semplificare l’hacking: tutto ciò che serve è il numero di targa di un’auto Kia. Fonte

Successivamente, un singolo pulsante nell’app consentirebbe all’utente malintenzionato di ottenere le coordinate geografiche del veicolo, bloccare o sbloccare le porte, avviare o arrestare il motore o suonare il clacson.

Hacking e geolocalizzazione di un'auto Kia

L’app potrebbe essere usata per ottenere le coordinate dell’auto violata e inviare comandi. Fonte

È importante notare che nella maggior parte dei casi queste funzioni non sarebbero sufficienti per il furto dell’auto. I modelli moderni sono generalmente dotati di immobilizzatori che richiedono la presenza fisica della chiave per essere disabilitati. Ci sono alcune eccezioni, ma in genere questo tipo di utilitarie non interessano ai ladri.

Tuttavia, questa vulnerabilità potrebbe essere facilmente usata per rintracciare il proprietario dell’auto, rubare oggetti di valore all’interno del veicolo (o piantarvi qualcosa) o intromettersi nella guida del conducente con azioni inaspettate da parte del veicolo.

I ricercatori hanno seguito il protocollo di divulgazione responsabile, informando il produttore del problema e pubblicando i risultati solo dopo che Kia ha corretto il bug. Tuttavia, fanno notare di avere trovato vulnerabilità simili in precedenza e si dicono fiduciosi che continueranno a scoprirne altre in futuro.

Consigli
Iscriviti per ricevere le nostre notizie via e-mail
  • Tutti gli altri paesi