Le auto connesse e i rischi per i dati personali: lo studio di Kaspersky

kaspersky lab e le auto connesse

kaspersky lab e le auto connesse
Kaspersky Lab e IAB, una delle principali aziende spagnole di marketing e digital media, hanno realizzato il Primo Studio Annuale delle Auto Connesse e sulle vulnerabilità dei sistemi IT delle auto.
Perché esistono delle preoccupazioni dal punto di vista della sicurezza dei servizi di comunicazioni e Internet inclusi nella nuova generazione di vetture "connesse".

La tecnologia nelle auto non si limita più ad essere un aiuto per parcheggiare la vettura in modo sicuro; ora comprende l’accesso ai social network, e-mail, connettività degli smartphone, il calcolo del percorso, le app in-car, ecc. Queste tecnologie offrono grandi vantaggi per gli automobilisti, ma portano anche nuovi rischi per gli utenti di oggi. Ecco perché è essenziale analizzare i diversi vettori che potrebbero causare attacchi informatici, incidenti o manutenzione errata del veicolo.

Privacy, aggiornamenti e app per smartphone per queste vetture potrebbe essere trasformata in tre vettori di attacchi separati per i criminali informatici. “Le Auto Connesse possono dare libero accesso alle minacce che da tempo esistono nel mondo dei PC e degli smartphone. Ad esempio, i proprietari di auto connesse potrebbero scoprire che le loro password sono state rubate. Questo potrebbe far sì che venga rilevata la posizione del veicolo e che vengano aperte le portiere da remoto. I problemi di privacy sono cruciali e gli automobilisti oggi devono essere consapevoli dei nuovi rischi che semplicemente prima non esistevano”, ha detto Diaz.

La proof of concept di Kaspersky Lab, è stata effettuata analizzando il sistema ConnectedDrive di BMW e sono stati rilevati diversi potenziali vettori di attacco:

Credenziali Rubate: Rubare le credenziali necessarie per accedere al sito web di BMW, con mezzi noti come phishing, keylogger o ingegneria sociale, può portare all’accesso non autorizzato di terzi parti alle informazioni degli utenti e quindi al veicolo stesso. Da qui è possibile installare una app mobile con le stesse credenziali e potenzialmente abilitare servizi remoti prima di aprire la macchina e portarla via.

Application Mobile: Attivando i servizi mobile di apertura a distanza, si crea in pratica un nuovo set di chiavi per l’auto. Se l’applicazione non è sicura, chi ruba il telefono potrebbe ottenere l’accesso al veicolo. Con un telefono rubato sarebbe possibile modificare il database delle applicazioni e bypassare qualsiasi autenticazione tramite PIN, rendendo più facile per un cyber-criminale attivare i servizi remoti.

Aggiornamenti: i driver Bluetooth vengono aggiornati scaricando un file dal sito BMW e installati attraverso una porta USB. Questo file non è crittografato o firmato, e include numerose informazioni sui sistemi interni in esecuzione sul veicolo. Questo potrebbe fornire a un potenziale aggressore l’accesso all’ambiente preso di mira e potrebbe anche essere modificato per eseguire codice dannoso.

Comunicazioni: Alcune funzioni comunicano con la SIM all’interno del veicolo tramite SMS. L’inserimento all’interno di questo canale di comunicazione permette di inviare istruzioni “false”, a seconda del livello di crittografia assicurato dall’operatore. Nel caso peggiore, un criminale potrebbe sostituire per esempio le comunicazioni di BMW con le sue proprie istruzioni e servizi.

Tags :