Ormai chissà quante volte, avrete sentito parlare di "Internet of Things": con il nostro smartphone possiamo controllare l'allarme di casa, con annessa videosorveglianza, il bucato della nostra lavatrice e perché no, anche la torna che avete infornato in mattinata.
Tutte rose e fiori? Avrete considerato anche voi il fatto che, le connessioni e gli accessi ai vostri devices, sono esposte agli stessi rischi che correte con i vostri pc.
Forse vi chiederete quale malintenzionato possa avere l'interesse a boicottare la cottura della vostra torta, però, è evidente che in caso di allarmi o dispositivi più sensibili, la nostra sicurezza è messa in discussione. Nell'ambito delle implementazioni sensibili, settore che peraltro sta prendendo sempre più piede praticamente in tutto il mondo, da sottolineare è l'esplosione del settore automotive.
Ecco perché, Kaspersky Lab e IAB (una delle principali aziende spagnole di marketing e digital media) hanno realizzato il Primo Studio Annuale delle Auto Connesse e sulle vulnerabilità dei sistemi IT delle auto.
Quali sono i rischi, dal punto di vista della sicurezza dei servizi di comunicazioni e Internet, inclusi nella nuova generazione di vetture "connesse"?
La tecnologia nelle auto, evidentemente, non si limita più ad essere un aiuto per parcheggiare la vettura in modo sicuro; ora comprende l'accesso ai social network, e-mail, connettività degli smartphone, il calcolo del percorso, le app in-car, ecc. Queste tecnologie offrono grandi vantaggi per gli automobilisti, ma portano anche nuovi rischi per gli utenti di oggi. Ecco perché è essenziale analizzare i diversi vettori che potrebbero causare attacchi informatici, incidenti o manutenzione errata del veicolo.
Privacy, aggiornamenti e app per smartphone per queste vetture potrebbe essere trasformata in tre vettori di attacchi separati per i criminali informatici.
Le Auto Connesse possono dare libero accesso alle minacce che da tempo esistono nel mondo dei PC e degli smartphone. Ad esempio, i proprietari di auto connesse potrebbero scoprire che le loro password sono state rubate. Questo potrebbe far sì che venga rilevata la posizione del veicolo e che vengano aperte le portiere da remoto. I problemi di privacy sono cruciali e gli automobilisti oggi devono essere consapevoli dei nuovi rischi che semplicemente prima non esistevano
ha dichiarato Vicente Diaz, principal security researcher di Kaspersky Lab.
La proof of concept di Kaspersky Lab, è stata effettuata analizzando il sistema ConnectedDrive di BMW e sono stati rilevati diversi potenziali vettori di attacco:
Credenziali Rubate: Rubare le credenziali necessarie per accedere al sito web di BMW, con mezzi noti come phishing, keylogger o ingegneria sociale, può portare all'accesso non autorizzato di terzi parti alle informazioni degli utenti e quindi al veicolo stesso. Da qui è possibile installare una app mobile con le stesse credenziali e potenzialmente abilitare servizi remoti prima di aprire la macchina e portarla via.
Application Mobile: Attivando i servizi mobile di apertura a distanza, si crea in pratica un nuovo set di chiavi per l’auto. Se l’applicazione non è sicura, chi ruba il telefono potrebbe ottenere l’accesso al veicolo. Con un telefono rubato sarebbe possibile modificare il database delle applicazioni e bypassare qualsiasi autenticazione tramite PIN, rendendo più facile per un cyber-criminale attivare i servizi remoti.
Aggiornamenti: i driver Bluetooth vengono aggiornati scaricando un file dal sito BMW e installati attraverso una porta USB. Questo file non è crittografato o firmato, e include numerose informazioni sui sistemi interni in esecuzione sul veicolo. Questo potrebbe fornire a un potenziale aggressore l’accesso all’ambiente preso di mira e potrebbe anche essere modificato per eseguire codice dannoso.
Comunicazioni: Alcune funzioni comunicano con la SIM all’interno del veicolo tramite SMS. L’inserimento all’interno di questo canale di comunicazione permette di inviare istruzioni “false”, a seconda del livello di crittografia assicurato dall’operatore. Nel caso peggiore, un criminale potrebbe sostituire per esempio le comunicazioni di BMW con le sue proprie istruzioni e servizi.
0 commenti:
Posta un commento