Hacking automobilistico

lug052021

Attenti a quell’APP!

Hacking automobilistico
C’è un’app per tutto. Moderni strumenti di aiuto in ogni ambito della nostra quotidianità.
Vuoi sapere se il tempo sarà buono per una gita fuori porta?
C’è un’app.
Vuoi sapere se ci sarà traffico lungo la strada?
C’è un’app.
Vuoi prenotare il ristorante a destinazione o farti recapitare il pranzo? C’è un’app.
Vuoi prontamente pagare il conto?
C’è un’app.

Potremmo andare avanti a lungo, perché le aziende hanno colto la grande opportunità di raggiungere i clienti grazie ad applicazioni che permettono di usufruire di servizi o di acquistare prodotti.
Il mondo automotive non ne è esente, le case automobilistiche hanno da tempo introdotto applicazioni che permettono di avere informazioni in merito a stili di guida, allo stato di manutenzione dell’auto, per fare alcuni esempi. Di più recente introduzione le funzioni che permettono al proprietario dell’automobile di programmare il climatizzatore durante la sosta, gestire a distanza il bloccaggio e lo sbloccaggio delle porte, controllare se i finestrini sono aperti o chiusi, e molto altro.
Dal nostro smartphone dunque possiamo interagire con la nostra automobile. Il rovescio della medaglia sta nel fatto che un hacker può introdursi, invisibilmente, nelle funzionalità dell’applicazione della casa madre.

I pirati informatici, grazie al fatto che riescono a superare i protocolli di sicurezza, possono intercettare username e password dell’app avendo così libero accesso ad alcune funzioni di controllo dell’automobile.

Il punto di partenza, per hackerare una vettura è spesso il numero identificativo del telaio, che è posto in evidenza fra parabrezza e cruscotto, da questa informazione il malintenzionato riesce a “farsi strada” nei server di connessione che gestiscono i vari servizi, riuscendo così a controllare alcune funzioni dell’automobile finanche a rubarla.

Altra modalità prevede che le potenziali vittime cadano nel tranello di scaricare app o programmi per la fornitura di prodotti o servizi (un servizio wi-fi, un accesso di ricarica per la propria auto elettrica, ecc.), e proprio grazie a quell’app o a quel link l’hacker è in grado di intercettare username e password.

In altre parole, tramite tecniche di social hacking viene violato lo smartphone dell'utente, installando un'applicazione malevola che riproduce la schermata di login al pannello di controllo. L'hacker provvede poi a cancellare il token di sicurezza rilasciato dai server, che permette all'applicazione di autenticarsi automaticamente, per obbligare l'utente a reinserire la password e permettendo così di prendere il controllo dell’auto.

Il punto è che la connettività, presente ormai su tutte le autovetture in commercio, ci offre maggior sicurezza, maggior confort alla guida, efficienza ed efficacia nelle operazioni di diagnostica e manutenzione da remoto, al tempo stesso offre l’opportunità ai malintenzionati di utilizzare tale connessione per fini illeciti.
Ben vengano dunque le innovazioni introdotte che ci permettono di ricevere prontamente la chiamata di soccorso in caso di incidente, di collegare il proprio smartphone al sistema infotainment, di poter inviare comandi dall’app alla nostra auto; tuttavia dobbiamo entrare nell’ordine di idee che questa connessione va protetta, e così come tutti noi salvaguardiamo i nostri dati ed il lavoro svolto al computer dotandoci di appositi antivirus, allo stesso modo dobbiamo ora comportarci con la nostra automobile perché basta un’app per fare tutto, anche per fartela rubare.
mag032019

Oltre ogni ragionevole dubbio

Hacking automobilistico
Anno 2019, la tecnologia è diventata la nostra alleata in tante situazioni di vita quotidiana, dal lavoro alla vita privata.
Le nostre auto non potevano che esserne coinvolte, quale mezzo di utilizzo quotidiano per la maggior parte di noi.

Ma, come sempre c’è un ma. Auto sempre più tecnologiche e sempre più interconnesse se, da un lato, ci rendono la vita più agevole, più smart, per usare un termine “in voga”, dall’altro porgono il fianco a chi questa tranquillità può guastarcela interferendo proprio con quella tecnologia che ci piace tanto.

Salgo in macchina e subito il mio cellulare si collega e il monitor sul cruscotto mi segnala che mi ha riconosciuta e che ora posso telefonare senza usare direttamente il telefono. Posso ascoltare la mia playlist preferita, mentre guido, grazie alla connessione automatica con il mio smartphone. E poi tanti altri esempi come il poter guidare, tranquilla di non incorrere in multe per eccesso di velocità in autostrada, grazie alla possibilità di impostare la velocità di crociera.

Inizia a febbraio di quest’anno un esperimento da parte di due ricercatori che del mondo della cibernetica hanno fatto, oltre che una grande passione, un lavoro: Ilaria Matteucci e Giampiero Costantino del Cybersecurity Lab del Cnr a Pisa.

Trovata una falla nel sistema operativo dell’autoradio, Android 6.0 di Google, son bastati loro due mesi per sviluppare un programma chiamato Candy Cream (pure simpatico come nome) che è in grado di accedere al sistema digitale della nostra amata auto e, a distanza, può controllare l’apertura delle porte, le frecce, il tachimetro ed il contagiri.

Ma come? La mia macchina nuova? Super accessoriata? Con l’infotainment, il bluetooth, il keyless sistem e persino l’e-call? Come è possibile che un estraneo possa introdursi abusivamente con tutta questa tecnologia? Ebbene sì, proprio tutta questa tecnologia ha permesso a Candy Cream di introdursi usando, come porta di accesso, proprio uno degli accessori più utilizzati, e apparentemente più innocui per questo tipo di rischio informatico: l’autoradio.

L’esperimento: il software da remoto, tramite un pc , si è introdotto attraverso l’autoradio ed ha preso il controllo di sistemi digitali quali l’apertura delle porte, la gestione del tachimetro, le frecce, ma avrebbe potuto controllare anche freno ed acceleratore. Un ulteriore elemento di preoccupazione è dato dal fatto che l’autoradio, durante l’attacco di hackeraggio, non ha mostrato alcun segno di malfunzionamento. Per cui, penso io, mentre ascolto la mia canzone preferita, un malintenzionato potrebbe prender controllo della mia macchina mentre guido cantando a squarciagola nel mio abitacolo senza che io me ne renda conto? Pare di sì.

E pare anche che sarei in buona compagnia visto che le statistiche dicono che sono circa 24 milioni le auto connesse vendute nel 2015, numero che si alza fino a 72 milioni come previsione per il 2023, sino ad arrivare a 470 milioni nel 2025, come stima di auto connesse in circolazione fra Europa, Cina e USA.

Ed allora mi chiedo se davvero sia possibile che con il livello di tecnologia a cui siamo arrivati non ci sia il modo di ovviare a questo problema, che non si possa avere un “alleato” che, da brava sentinella, ci avverta se un malintenzionato ha aperto le porte o acceso il motore perché si è introdotto nel sistema informatico della nostra auto.

La risposta è sì.

Restate collegati, ci sarà musica per le vostre orecchie.



La Sentinella




feb072018

I sistemi di accesso senza chiave sulle automobili offrono comodità ai conducenti ma aprono le porte ai ladri informatici.

Hacking automobilistico
Il furto d'auto dotate di chiave KEYLESS si sta diffondendo velocemente in tutta Europa, il motivo? Le elettroniche utilizzate dai ladri sono facilmente reperibili nel web a costi contenuti, l’attività criminosa non desta sospetto e bastano pochi secondi per aprire l’auto e metterla in moto.

Abbiamo pubblicato un video di un canale russo che simula la tecnica di furto e spiega la dinamica.

"I proprietari interessati dovrebbero prendere contatto con il proprio Concessionario per ricevere informazioni e seguire i nostri suggerimenti legati alla sicurezza."

1. Contatta il tuo rivenditore e informati se ci sono versioni del software della tua auto da aggiornare.
2. Controlla se la chiave keyless può essere disattivata. Se è possibile, e il service del tuo concessionario può anche confermarlo, fallo durante la notte.
3. Conserva le chiavi lontano dai punti d’ingresso dell’abitazione. Mantenere la chiave keyless lontano dalla vista non è sufficiente - i ladri devono solo avvicinarsi ad essa per amplificare il segnale.
4. Riesamina la sicurezza della tua auto. Gli accessori forniti dalle case automobilistiche non sono efficaci perché sono uguali su tutte le auto prodotte e perciò facilmente eludibili. Installa dei dispositivi di sicurezza aftermarket che proteggano l’auto da un possibile attacco di hackeraggio e rilevino una manomissione fisico-meccanica (effrazione, aperture porte, sollevamento etc).
dic302017

Un difetto di progettazione consente agli hacker di arrestare le funzioni di sicurezza.

Hacking automobilistico
Per quanto i sistemi di sicurezza delle automobili siano sempre più sofisticati, non potranno mai essere perfettamente impenetrabili. Lo sanno bene i ladri, sempre più informatizzati e attrezzati di tecnologie ricercate. L'ultima trovata, chiamata RollJam, che farà tremare le case automobilistiche, permette di entrare nell’elettronica di bordo consentendo l’apertura delle porte e conseguentemente l’avviamento del motore.

RollJam, come funziona - Il meccanismo del dispositivo è stato illustrato nel corso dell'ultimo Defcon, il più grande raduno di hacker organizzato a Las Vegas. La dinamica è molto semplice: quando la vittima prova a chiudere la porta con la chiave dell’auto, avrà come l'impressione di non aver dato il comando. Al secondo tentativo, tutto funzionerà regolarmente, ma ormai tutto è perduto. Quel primo tentativo andato a vuoto, infatti, è stato in realtà il momento in cui il ladro ha potuto intercettare il segnale della chiave elettronica e impossessarsi della password inviata dall'auto per poterla aprire.

Chi c'è dietro RollJam? - Ovviamente uno degli hacker più talentuosi, Samy Kamkar, che ha inventato numerosi hack in passato come Combo Breaker, OpenSesame e KeySweeper.

Come confermato dal famigerato hacker, RollJam funziona su diverse macchine e ha scoperto che l'attacco funziona contro chip ampiamente adottati, tra cui il generatore di codici a barre ad alta sicurezza prodotto da National Semiconductor e il sistema di controllo accessi KeeLoq di Microchip Technology.

Archivio storico