Kaspersky Lab ha messo alla prova la sicurezza di 7 app per il controllo da remoto delle auto, scoprendo numerose vulnerabilità a possibili cyber attacchi.
Negli ultimi anni, le automobili sono diventate sempre più connesse. Con l’aiuto delle applicazioni mobile, è ora possibile ottenere le coordinate di posizione del veicolo e il suo percorso, aprire le porte, avviare il motore e controllare i dispositivi in-car aggiuntivi. Queste funzioni estremamente utili possono tuttavia esporre gli utenti al rischio di cyber attacchi.
Kaspersky Lab ha esaminato sette applicazioni per il controllo da remoto delle auto: sviluppate dalle principali case automobilistiche, hanno raggiunto in alcuni casi anche cinque milioni di download. La ricerca ha rivelato che tutte le app esaminate contenevano problemi di sicurezza, tra cui:
• Nessuna difesa dal reverse engineering dell’applicazione. I cyber criminali possono quindi capire come funziona l’app e trovare una vulnerabilità che permetta l’accesso all’infrastruttura lato server o al sistema multimediale dell’auto
• Nessun controllo dell’integrità del codice, caratteristica che permette di inserire un codice dannoso nell’app e sostituire il programma originale con uno falso
• Nessuna tecnica di rilevamento del rooting. I permessi di root forniscono ai Trojan capacità quasi illimitate e lasciano l’app senza difese
• Assenza di protezione da tecniche di overlay delle app. Le app dannose riescono dunque a mostrare schermate di phishing e a rubare le credenziali degli utenti
• Username e password archiviate con testo in chiaro, cosa che permette il furto dei dati dell’utente in maniera relativamente agevole.
In caso di attacco riuscito, un cyber criminale può controllare la macchina, e, teoricamente, rubare il veicolo.
Il vettore di attacco richiederebbe in effetti una preparazione aggiuntiva, come indurre i proprietari delle applicazioni ad installare app in grado di accedere alle applicazioni dell’auto. Tuttavia, secondo gli esperti di Kaspersky Lab è improbabile che questo possa fermare criminali esperti in tecniche di social engineering.
I ricercatori di Kaspersky Lab consigliano agli utenti di seguire le seguenti regole:
• Non eseguire il root dei propri dispositivi Android – questo concederebbe possibilità pressoché illimitate alle app nocive
• Disattivare la possibilità di installare applicazioni da fonti diverse dall’app store ufficiale
• Tenere il sistema operativo aggiornato alla versione più recente per ridurre le vulnerabilità del software
• Installare una soluzione di sicurezza affidabile
Victor Chebyshev, esperto in sicurezza, Kaspersky Lab
La conclusione principale della nostra ricerca è che, allo stato attuale, le applicazioni per le auto connesse non sono pronte a resistere agli attacchi malware. Pensando alla sicurezza delle auto connesse, non bisognerebbe considerare solo la protezione dell’infrastruttura lato server. Secondo noi, le case automobilistiche dovranno percorrere la stessa strada già intrapresa dalle banche con le loro applicazioni. All’inizio, infatti, le app per l’online banking non avevano tutte le funzioni di sicurezza elencate nella nostra ricerca. Ora, dopo molti casi di attacco alle applicazioni per il mobile banking, molte banche hanno migliorato la sicurezza dei loro prodotti. Fortunatamente, non abbiamo ancora individuato nessun caso di attacco alle applicazioni per le macchine, il che significa che i produttori di automobili hanno ancora tempo per migliorare la situazione. Tuttavia, non è possibile sapere quanto tempo abbiano. I Trojan attuali sono molto flessibili: un giorno possono comportarsi come normali adware e il giorno dopo possono facilmente scaricare una nuova configurazione che permette loro di colpire nuove app. In questo caso, il campo d’attacco è molto vasto.