Le automobili sono sempre più connesse. Questa connessione include non solo
i sistemi di infotainment, ma anche aspetti critici dei sistemi dei veicoli, come
la chiusura delle porte e l’accensione, che sono ora disponibili online. Con
l’aiuto di applicazioni mobili è ora possibile ottenere le coordinate di
posizione del veicolo e il suo percorso, aprire le porte, avviare il motore e controllare
i dispositivi in-car aggiuntivi. Se da un lato si tratta di funzioni
estremamente utili, dall’altro viene spontaneo chiedersi come le Case automobilistiche
proteggano queste app dal rischio di cyber-attacchi.
Per scoprirlo, Kaspersky Lab ha testato sette applicazioni per il controllo
da remoto delle auto sviluppate dalle principali Case automobilistiche e che,
secondo le statistiche di Google Play, sono state scaricate decine di migliaia
di volte, raggiungendo in alcuni casi anche 5 milioni di download. La ricerca
ha rivelato che ognuna delle app esaminate conteneva diversi problemi di
sicurezza.
La lista dei problemi di sicurezza include: Nessuna difesa dal reverse
engineering dell’applicazione. Di conseguenza, i cyber-criminali potrebbero
capire come funziona l’app e trovare una vulnerabilità che permetta loro di
ottenere l’accesso all’infrastruttura lato server o al sistema multimediale
dell’auto. Nessun controllo dell’integrità del codice, caratteristica che permette
ai criminali di inserire il proprio codice nell’app e sostituire il programma
originale con uno falso. Nessuna tecnica di rilevamento del rooting. I permessi
di root forniscono ai Trojan capacità quasi illimitate e lasciano l’app senza
difese.Assenza di protezione da tecniche di overlay delle app. In questo modo,
le app dannose riescono a mostrare schermate di phishing e a rubare le
credenziali degli utenti. Username e password archiviate con testo in chiaro.
Usando questa debolezza, un criminale può rubare i dati dell’utente in maniera
relativamente facile. In caso di attacco andato a buon fine, un cyber-criminale
può controllare la macchina, sbloccare le porte, spegnere l’allarme di
sicurezza e teoricamente rubare il veicolo.
In ogni caso il vettore di attacco richiederebbe una preparazione
aggiuntiva, come indurre i proprietari delle applicazioni a installare
specifiche app dannose appositamente sviluppate in grado di ottenere i permessi
di root del dispositivo e accedere alle applicazioni dell’auto. Tuttavia, come scoperto
da Kaspersky Lab, su molte altre applicazioni nocive che prendono di mira le
credenziali per l’online banking e altre importanti informazioni, è improbabile
che questo rappresenti un problema per criminali esperti in tecniche di social
engineering nel caso in cui decidessero di colpire i proprietari delle auto
connesse.
«La conclusione principale della
nostra ricerca è che, allo stato attuale, le applicazioni per le auto connesse
non sono pronte a resistere agli attacchi malware. Pensando alla sicurezza
delle auto connesse, non bisognerebbe considerare solo la protezione dell’infrastruttura
lato server» dice Victor Chebyshev,
esperto in sicurezza di Kaspersky Lab. «Secondo
noi, le Case automobilistiche dovranno percorrere la stessa strada già
intrapresa dalle banche con le loro applicazioni. All’inizio, infatti, le app
per l’online banking non avevano tutte le funzioni di sicurezza elencate nella
nostra ricerca. Ora, dopo molti casi di attacco alle applicazioni per il mobile
banking, molte banche hanno migliorato la sicurezza dei loro prodotti.
Fortunatamente, non abbiamo ancora individuato nessun caso di attacco alle
applicazioni per le macchine, il che significa che i produttori di automobili
hanno ancora tempo per migliorare la situazione. Tuttavia, non è possibile
sapere quanto tempo abbiano. I Trojan attuali sono molto flessibili: un giorno
possono comportarsi come normali adware e il giorno dopo possono facilmente
scaricare una nuova configurazione che permette loro di colpire nuove app. In
questo caso, il campo d’attacco è molto vasto».
Kaspersky Lab consiglia agli utenti delle app per le auto connesse di
seguire le seguenti regole per proteggere le auto e le informazioni personali da
possibili cyber attacchi. Non eseguire il root dei propri dispositivi Android –
questo concederebbe possibilità pressoché illimitate alle app nocive. Disattivare
la possibilità di installare applicazioni da fonti diverse dall’app store
ufficiale. Tenere il sistema operativo aggiornato alla versione più recente per
ridurre le vulnerabilità del software e diminuire il rischio di attacco. Installare
una soluzione di sicurezza affidabile per proteggere il
dispositivo dai cyber-attacchi.
A tale proposito Kaspersky Lab e
AVL Software & Functions hanno presentato la Secure
Communication Unit (SCU), una nuova soluzione di sicurezza cgerende possibile
una comunicazione a prova di interferenza tra le componenti auto, l'auto e le
sue infrastrutture connesse esterne, consentendo la realizzazione di auto
connesse sicure by-desing. Ogni generazione di auto incorpora
nuove tecnologie intelligenti per diagnostica remota, telematica, guida
autonoma e automatizzata, assistenza remota del conducente e infotainment.
Basati su attuatori elettromeccanici del veicolo, i controlli delle auto stanno
diventando sistemi cyber-fisici sempre più complessi con sensori multipli,
controlli, applicazioni, subnet e moduli di comunicazione che interagiscono con
altri veicoli e il loro ambiente. Le loro funzioni possono essere controllate
da remoto e tramite sistemi digitali. Per questo motivo, le auto connesse
stanno diventando bersaglio di attacchi informatici.
