Hackerata un´altra auto, questa volta è il turno della Nissan Leaf

Naviga SWZ: Home Page » News
News del 01 Marzo 16 Autore: Pinter
Da poco presentata in pompa magna nei giorni scorsi all´appena conclusosi Mobile World Congress 2016 di Barcellona, la nuova Nissan Leaf, auto elettrica con autonomia di 250 Km e nuovo sistema di bordo NissanConnect EV, è già stata hackerata!

L’australiano Troy Hunt, ricercatore ed esperto in sicurezza informatica, si è infatti introdotto nel sistema di bordo dell’auto giapponese sfruttando una vulnerabilità nelle API dell’applicazione iOS rilasciata da Nissan per il controllo di alcune funzionalità dell’auto.

Troy ha avuto accesso da remoto allo storico dei viaggi dell’auto, all’attivazione dell’aria condizionata e ad altre funzioni utilizzando semplicemente un browser e una connessione internet. Ci sarebbe, inoltre, un problema di privacy. L’aggressore potrebbe scoprire l’username necessario per utilizzare l’applicazione che potrebbe dare informazioni sull’identità reale del proprietario dell’auto e sui suoi movimenti.

La vittima in questo caso è stato un possessore britannico della Leaf che si è prestato al “gioco” e il tutto è stato documentato nel video sottostante.

Troy ha potuto eseguire l’ attacco sfruttando queste vulnerabilità e conoscendo il VIN dell’auto, ovvero il codice del telaio. Non che sia facile reperirlo ma non si tratta nemmeno di una cosa impossibile e ciò è particolarmente inquietante, visto che tramite il VIN è possibile, tramite queste vulnerabilità, prendere il controllo di qualsiasi altra Nissan Leaf in giro per il mondo.


Per fortuna, come si nota anche dal video, l’attacco si è limitato ad aspetti secondari delle funzioni di un auto che non mettono a rischio l’incolumità del guidatore. Immaginando però un futuro con sempre più auto a guida autonoma (o semi-autonoma) e con i produttori così poco attenti alla sicurezza dei sistemi di guida connessi...

Le auto connesse di nuova generazione pongono un problema molto serio sul fronte della sicurezza e il problema si pone  dal punto di vista teorico ormai da tempo: l’essere connessi alla rete significa, potenzialmente, essere oggetto di tentativi di pirateria informatica attuati per accedere ai dati di navigazione degli utenti ed in casi molto gravi per accedere ai controlli a distanza dell’auto.

Le aziende automobilistiche stanno lavorando su questo fronte, ma le auto connesse si stanno dimostrano decisamente troppo “fragili” da questo punto di vista. Il caso Nissan sembra essere limitato in termini di impatto finale, ma apre tuttavia a medesime riflessioni sul grado di sicurezza raggiungibile e sulle precauzioni da mettere in atto per isolare parte degli apparati da possibili incursioni esterne.

Hackerata un´altra auto, questa volta è il turno della Nissan Leaf - immagine 1

In proposito, Sergey Lozhkin, senior researcher del GReAT di Kaspersky Lab, ha rilasciato il seguente commento:

Sempre più auto offrono opzioni per il controllo da remoto di alcuni dei loro sistemi, come la climatizzazione e l’intrattenimento, tramite applicazioni sugli smartphone degli utenti. Contemporaneamente allo sviluppo delle tecnologie interne alle auto, aumenta anche la possibilità di controllarle da remoto. Secondo le nostre previsioni, le app sugli smartphone degli utenti saranno presto in grado di controllare i sistemi critici dell’auto. Nel recente caso della Nissan Leaf abbiamo assistito al seguente scenario: gli hacker hanno scaricato l’app in grado di controllare i sistemi della macchina, presumibilmente il climatizzatore e i sistemi di intrattenimento, e hanno usato il numero VIN dell’auto per connettersi al pannello di controllo. Non ci vuole molto perché questa procedura venga usata a scopo criminale: semplicemente cambiando il numero VIN sarebbe possibile controllare un’altra auto. Nonostante le ripercussioni di questo esempio siano relativamente limitate, la semplicità con cui i criminali possono ottenere l’accesso dovrebbe essere considerata una provocazione per gli sviluppatori software. Questo genere di attacchi potrebbe essere semplicemente prevenuto abilitando procedure sicure di autenticazione tra la macchina e l’app per smartphone, insieme alla criptazione dei dati. Il caso Nissan dimostra ancora una volta come i produttori di autovetture dovrebbero iniziare a prendere in seria considerazione il problema delle minacce informatiche per le loro auto connesse a internet e a chiedere che i produttori dei componenti delle macchine facciano lo stesso”.
Inserisci un commento sul forum Commenta la News sul Forum

Voto:

Categoria: Sicurezza

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter

NOTIZIE CORRELATE