Auto sempre connesse: comode ma vulnerabili

Una ricerca rivela alcune vulnerabilità nella nuova generazione di auto in grado di connettersi a Internet. Se ben sfruttate, si potrebbe rubare l’auto o creare alcuni problemi.

Auto hackerabili

Se avete sentito parlare di concetti futuristici come “case intelligenti” o “Internet delle cose”, allora potrebbe sorprendervi il fatto che le auto moderne sono i luoghi dove più vengono messe in pratica innovazioni tecnologiche di questo tipo.

Un’auto dei giorni nostri ospita innumerevoli dispositivi che si occupano di controllare i freni, le route, le luci, l’impianto di climatizzazione e tanto altro. Naturalmente, le case produttrici di automobili seguono questo trend ormai abbastanza consolidato e favoriscono negli ultimi modelli l’uso di vari servizi online, in modo tale che l’auto sia sempre “connessa”. Grazie a queste novità, possiamo regolare l’aria condizionata con lo smartphone, utilizzare Yelp o Google Maps direttamente dalle opzioni sul cruscotto, ascoltare la radio online dalle casse o, in caso d’incidente, inviare le coordinate GPS per avere sul posto l’ambulanza il prima possibile o per chiedere aiuto. Si tratta di funzionalità già piuttosto diffuse, come dimostrato da una recente ricerca condotta dalla direzione spagnola dell’Interactive Advertising Bureau (IAB).

Queste funzionalità per rimanere sempre “connessi” sono disponibili sui modelli più recenti delle 15 principali case produttrici di automobili, tra cui Audi, BMW, Ford, Lexus, Opel, Renault, Volvo; in parole povere, ogni casa ha una opzione di qualche tipo che garantisce la connessione costante. Ogni azienda promuove le proprie soluzioni integrate, mentre alcune mettono in evidenza la capacità di collegarsi via smartphone. BMW è in cima alla lista con 20 app per smartphone e 14 app integrate, che vanno dall’accesso a Spotify alla diagnostica in remoto dei problemi del veicolo. Non c’è da meravigliarsi, quindi, che IAB abbia chiesto a Kaspersky di valutare i rischi che si corrono nell’utilizzare questi veicoli, prendendo come esempio la casa automobilistica BMW.

Gli scenari più cupi prevedono la possibilità di hackerare il volante e i freni, eventualità già dimostrata su modelli di altre case produttrici. In questa ricerca, tuttavia, Kaspersky Lab si è concentrata sull’uso improprio di alcune funzionalità “normali” di questi modelli sempre connessi. Una delle più interessanti è naturalmente quella che consente di aprire l’auto senza aver bisogno delle chiavi, mediante l’app per smartphone My BMW Remote. Dobbiamo ammettere che gli sviluppatori hanno fatto un buon lavoro implementando la verifica in due passaggi, che richiede l’installazione sullo smartphone di una “chiave virtuale”. In ogni caso, qualsiasi esperto che abbia mai trattato un Trojan bancario, potrebbe facilmente indicare un paio di trucchetti che i cybercriminali utilizzano per superare questa forma di protezione. Una combinazione di phishing, tecniche di keylogging e attacchi man-in-the-middle, oltre all’ingegneria sociale consentono di bypassare anche i meccanismi di difesa più sofisticati. Durante un test pratico, un ricercatore è stato in grado di intercettare le credenziali di accesso della “vittima” e di installare la chiave virtuale sul proprio smartphone; in questo modo, poteva aprire l’auto in questione senza la necessità di chiedere al legittimo proprietario.

“I proprietari della auto sempre connesse a Internet si possono trovare di fronte a differenti rischi, dal furto di password all’individuazione della geolocalizzazione del veicolo, passando per il controllo in remoto di alcuni meccanismi e perfino all’apertura delle portiere. Quelle minacce che riguardano nello specifico il mondo informatico potrebbero assumere maggiore importanza nell’industria automobilistica; per questo, i proprietari dei veicoli di nuova generazione devono essere a conoscenza dei rischi che corrono”, ha dichiarato Vicente Díaz, Principal Security Researcher di Kaspersky Lab.

Consigli