App per auto: chi ha le chiavi della vostra macchina?

Tutte le auto moderne di oggi sono sostanzialmente un computer su quattro ruote e molte sono anche connesse a Internet. Di conseguenza, oltre ai veicoli stessi, le case automobilistiche stanno sviluppando app per controllarle da remoto. Queste app possono essere utilizzate per verificare la posizione dell’auto, accendere in anticipo il riscaldamento o l’aria condizionata, bloccare e sbloccare le portiere e molto altro.

Tuttavia, ogni utente ha di certo esigenze diverse e spesso non è possibile racchiudere tutte le funzioni e rispondere a tutte le necessità in un’unica app. Quindi, oltre al software della casa automobilistica, esistono numerose app di terze parti per tutti i gusti e per tutti i portafogli. Certo, sono comode, ma sono sicure? I nostri ricercatori hanno deciso di indagare.

Chi sta realmente guidando la vostra auto?

Affinché l’auto sappia che siete proprio voi a usare l’app, dovete inserire il vostro username e password. Se si utilizza l’app della casa automobilistica, le credenziali non vengono trasmesse a terzi, il che è positivo. Inoltre, esistono standard di sicurezza che i fabbricanti di automobili devono rispettare.

Se si sceglie un’app esterna con alcune funzioni esclusive che non sono presenti nell’app ufficiale, questa ha in qualche modo bisogno di accedere al veicolo o ai suoi dati telemetrici. Alcune app utilizzano soluzioni appositamente sviluppate dalla casa automobilistica, che non richiedono le vostre credenziali e hanno un accesso limitato al veicolo, consentendovi di utilizzare le loro funzionalità ma impedendo loro di compiere azioni pericolose, come sbloccare le portiere. Queste app sono abbastanza sicure, ma sono ancora poche.

La maggior parte delle app per auto connesse richiede lo username e la password dell’account che vi ha fornito il produttore; in altre parole, ottengono l’accesso completo al vostro account. Purtroppo, però, i requisiti di sicurezza che rispettano le case automobilistiche non si estendono a queste app, ed è qui che sorge il problema.

La fiducia è tutto

Lo studio ha analizzato soprattutto le app di terze parti che utilizzano gli account forniti agli utenti dai fabbricanti del veicolo. Purtroppo, più della metà degli sviluppatori di app non avverte gli utenti dei rischi legati alla cessione dell’account. Ci sono invece sviluppatori che avvertono gli utenti e che assicurano loro che non memorizzeranno le credenziali o che le memorizzeranno in forma criptata. Inoltre, ricordano agli utenti che lo username e la password sono necessari solo e unicamente per ottenere un token di autorizzazione. Il token consente a chiunque di utilizzare l’account per conto dell’utente, proprio come le credenziali di accesso, e anch’esso potrebbe essere divulgato se conservato in modo improprio. Infine, va aggiunto che è molto difficile verificare come vengano gestite le credenziali: in definitiva, o ci si fida degli sviluppatori o non si usa l’app.

Un altro dato da tenere in considerazione è che, in base alle app analizzate dai nostri ricercatori, nel 14% dei casi è impossibile contattare gli sviluppatori: le informazioni di contatto presenti sul loro sito erano assenti o rimandavano a pagine social che non esistono più.

Per quanto riguarda i servizi web, la situazione si rivela essere molto simile: l’utente condivide le proprie credenziali senza sapere con certezza come verranno conservate e trattate. Da questo punto di vista, le soluzioni open-source sono più trasparenti dato che gli utenti esperti di tecnologia possono almeno studiare il codice. Tuttavia, per le persone normali, che non possiedono conoscenze tecniche, sarà estremamente difficile capirlo.

Un altro problema è che esistono servizi di intermediazione che collegano i sistemi della casa automobilistica alle app di terzi. Questi servizi vengono utilizzati dagli sviluppatori di app per auto e servizi web, ma gli utenti potrebbero non essere al corrente della loro esistenza. È importante capire se le app per auto di terze parti che stiamo utilizzando funzionino attraverso un servizio di intermediazione oppure no, perché in tal caso tutti gli sviluppatori coinvolti entreranno in possesso delle vostre credenziali.

App di terze parti che accedono alla vostra auto: qual è il rischio?

Se le vostre credenziali non sono conservate in modo molto sicuro, sarà facile per un hacker accedere a tali informazioni. Probabilmente non riusciranno a rubare l’auto, ma potranno controllare a distanza elementi come porte e finestrini, climatizzazione, clacson, fari, ecc. Se un malintenzionato inizia a suonare il clacson o a lampeggiare a caso mentre state guidando, può essere spiacevole, se non addirittura pericoloso.

Sembra di essere in un film di James Bond, non è vero? Chi mai potrebbe voler farvi fuori in un modo così elaborato? Purtroppo però la realtà a volte supera la fantasia. Se questi dati dovessero diventare di dominio pubblico, potrebbero finire nelle mani di qualche burlone online (e ce ne sono tanti in giro per il mondo) che pensa solo a divertirsi e non alle conseguenze.

Inoltre, se un’app viene hackerata, i criminali informatici avranno accesso a tutti i dati raccolti, compresa la geolocalizzazione; e questa può essere usata per tracciare gli spostamenti del proprietario dell’auto, in ogni momento e da qualsiasi parte del mondo.

Ecco un esempio recente. Non molto tempo fa, il diciannovenne David Colombo, esperto di sicurezza, ha accidentalmente scoperto una vulnerabilità nell’app TeslaMate, utilizzata per raccogliere, archiviare e visualizzare i dati telemetrici dei veicoli Tesla. L’esperto è riuscito a scoprire dove vivevano i proprietari delle auto, dove guidavano e a quale velocità, dove erano parcheggiati i veicoli, dove erano stati ricaricati e quali aggiornamenti erano stati installati su quelle auto.

Sebbene l’app fosse stata progettata solo per raccogliere dati e non per controllare l’auto, Colombo ci è riuscito. Questo è stato possibile perché la memoria che conteneva le credenziali dell’utente era accessibile tramite la password predefinita, mentre alcune informazioni potevano essere recuperate senza alcuna autorizzazione. Colombo ha segnalato il problema agli sviluppatori dell’app, che lo hanno risolto in tempi relativamente brevi. Nonostante il lieto fine, la vicenda dimostra che le app per auto di terze parti potrebbero non essere così affidabili come sostengono gli sviluppatori.

Quindi, è meglio smettere di usare le app di terze parti?

Tutto questo non significa che le app di terze parti non debbano essere utilizzate in nessun caso. Non tutti gli sviluppatori sono indifferenti alla sicurezza dei dati degli utenti. Come abbiamo osservato, i creatori di TeslaMate hanno risposto piuttosto rapidamente alla segnalazione della vulnerabilità e hanno risolto il problema. Inoltre, come già detto, esistono app che non richiedono l’accesso completo all’account fornito dalla casa automobilistica

Detto questo, se avete bisogno di funzioni non presenti nell’app ufficiale del veicolo, fate attenzione all’app esterna che scegliete: se possibile, scegliete un’app di uno sviluppatore affidabile che almeno non nasconda i propri dati di contatto e rispetti il concetto di trasparenza. Cercate i report e le opinioni degli esperti di sicurezza e leggete i feedback degli utenti esperti di tecnologia che conoscono il funzionamento e i rischi di queste app.

Se state già utilizzando un’app di terze parti ma volete smettere di usarla, sappiate che la semplice disinstallazione dallo smartphone potrebbe non essere sufficiente. Ecco alcuni consigli!

• Verificate se dovete anche annullare l’iscrizione o cancellare il vostro account con il servizio.
• Per sicurezza, cambiate la password dell’account che vi ha dato la casa automobilistica.
• Se possibile, revocate l’accesso dell’app al vostro account contattando il sito web del produttore o l’assistenza tecnica.