Kaspersky Lab e IAB, una delle principali aziende spagnole di marketing e digital media, hanno realizzato il primo Studio Annuale delle Auto Connesse.
L’obiettivo principale di questo studio è quello di fornire una panoramica del mercato delle auto connesse, combinando tutte le informazioni disponibili per rispondere ad alcune domande cruciali e portare un po’di chiarezza.
Vicente Diaz, Principal Security Researcher di Kaspersky Lab, ha portato a termine una roof of concept per analizzare le implicazioni per la sicurezza del collegamento delle vetture a Internet.
Gli automobilisti non possono più ignorare le preoccupazioni dal punto di vista della sicurezza dei servizi di comunicazioni e Internet inclusi nella nuova generazione di vetture “connesse”. La tecnologia nelle auto non si limita più ad essere un aiuto per parcheggiare la vettura in modo sicuro; ora comprende l’accesso ai social network, e-mail, connettività degli smartphone, il calcolo del percorso, le app in-car, ecc Queste tecnologie offrono grandi vantaggi per gli automobilisti, ma portano anche nuovi rischi per gli utenti di oggi. Ecco perché è essenziale analizzare i diversi vettori che potrebbero causare attacchi informatici, incidenti o manutenzione errata del veicolo.
Privacy, aggiornamenti e app per smartphone per queste vetture potrebbe essere trasformata in tre vettori di attacchi separati per i criminali informatici. “Le Auto Connesse possono dare libero accesso alle minacce che da tempo esistono nel mondo dei PC e degli smartphone. Ad esempio, i proprietari di auto connesse potrebbero scoprire che le loro password sono state rubate. Questo potrebbero far si che venga rilevata la posizione del veicolo e che vengano aperte le portiere da remoto. I problemi di privacy sono cruciali e gli automobilisti oggi devono essere consapevoli dei nuovi rischi che semplicemente prima non esistevano”, ha detto Diaz.
La proof of concept di Kaspersky Lab, è stata effettuata analizzando il sistema ConnectedDrive di BMW e sono stati rilevati diversi potenziali vettori di attacco:
Credenziali Rubate: Rubare le credenziali necessarie per accedere al sito web di BMW – con mezzi noti come phishing, keylogger o ingegneria sociale – può portare all’accesso non autorizzato di terzi parti alle informazioni degli utenti e quindi al veicolo stesso. Da qui è possibile installare una app mobile con le stesse credenziali e potenzialmente abilitare servizi remoti prima di aprire la macchina e portarla via.
Application Mobile: Attivando i servizi mobile di apertura a distanza, si crea in pratica un nuovo set di chiavi per l’auto. Se l’applicazione non è sicura, chi ruba il telefono potrebbe ottenere l’accesso al veicolo. Con un telefono rubato sarebbe possibile modificare il database delle applicazioni e bypassare qualsiasi autenticazione tramite PIN, rendendo più facile per un cyber-criminale attivare i servizi remoti.
Aggiornamenti: i driver Bluetooth vengono aggiornati scaricando un file dal sito BMW e installati attraverso una porta USB. Questo file non è crittografato o firmato, e include numerose informazioni sui sistemi interni in esecuzione sul veicolo. Questo potrebbe fornire a un potenziale aggressore l’accesso all’ambiente preso di mira e potrebbe anche essere modificato per eseguire codice dannoso.
Comunicazioni: Alcune funzioni comunicano con la SIM all’interno del veicolo tramite SMS. L’inserimento all’interno di questo canale di comunicazione permette di inviare istruzioni “false”, a seconda del livello di crittografia assicurato dall’operatore. Nel caso peggiore, un criminale potrebbe sostituire per esempio le comunicazioni di BMW con le sue proprie istruzioni e servizi.