‘idea di utilizzare un’app per controllare la propria auto in remoto sembra allettante, vero? Se fuori fa freddo, potete accendere il motore mentre siete ancora sotto le coperte e, quando dovete uscire di casa, la temperatura dell’abitacolo della vostra auto sarà perfetta. O, al contrario, se fuori il caldo è cocente, potete accendere l’aria condizionata. E non dovrete più ricordarvi dove avete parcheggiato, perché la vostra automobile vi invierà le coordinate GPS via app.

Una grande comodità certamente, per questo sempre più modelli di automobili dispongono del controllo via app. Ma è un sistema sicuro? Gli esperti di Kaspersky Lab hanno condotto uno studio in due fasi con lo scopo di analizzare questo aspetto così specifico della sicurezza.

Sicurezza delle app delle auto connesse a Internet: la ricerca

La prima fase dello studio ha avuto luogo verso la fine del 2016. Successivamente, durante la conferenza RSA di febbraio 2017, gli analisti antivirus Mikhail Kuzin e Viktor Chebyshev hanno presentato il report App mobile e furto delle auto connesse a Internet (Mobile apps and stealing a connected car). Gli esperti hanno analizzato alcune app Android che consentono agli utenti di controllare in remoto le auto connesse a Internet in azioni come apertura delle portiere, accensione del motore, localizzazione del veicolo, indicazioni dal cruscotto etc.

I nostri esperti hanno analizzato nove app mobile delle case automobilistiche più grandi per verificarne il livello di sicurezza. Lo scopo era quello di verificare se tali app fossero immuni a tre tipici attacchi delle app Android dannose: rooting (ottenere le autorizzazioni di root sul dispositivo), sovrapposizione del l’interfaccia originale con una finestra falsa e iniezione di un codice dannoso nell’app legittima.

Innanzitutto, cerchiamo di capire per quale motivo questi attacchi sono così pericolosi:

https://cdn.securelist.com/files/2017/02/cars_research_en_1.png

Vettori di attacco potenziali

Rooting

In modalità operativa standard, tutte le app Android immagazzinano dati (anche quelli importanti come username, password o altro) in sezioni isolate della memoria a cui le altre app non possono accedere. Il rooting interrompe questo sistema di sicurezza: con i permessi di root, un’app dannosa può ottenere l’accesso ai dati immagazzinati da altre app e rubarli.

Molti malware ne approfittano. Circa il 30% dei malware Android più comuni utilizza vulnerabilità nel sistema operativo per effettuare il rooting dei dispositivi. Inoltre, molti utenti facilitano il lavoro dei virus ed effettuano loro stessi il rooting dei propri dispositivi Android, operazione che non consigliamo a meno che non siate sicuri al 100% di saper proteggere il vostro smartphone o tablet.

Sovrapposizione dell’interfaccia della app

Il trucchetto è molto semplice da eseguire. Il malware registra le app nel momento in cui vengono aperte dall’utente e proprio allora il malware sovrappone la finestra della app con una dannosa dall’apparenza simile (o addirittura identica). Si tratta di un processo istantaneo, per cui l’utente non ha la possibilità di notare anomalie.

Quando l’utente inserisce i propri dati personali nella falsa schermata, pensando di interagire con l’app legittima, il malware si appropria di username, password, numeri di carte di credito e altri dati d’interesse.

Il trucco della sovrapposizione dell’interfaccia è un’arma standard dei Trojan che colpiscono le app bancarie. Ma, come potete vedere, non si applica solo a quest’area: i creatori di questi Trojan sono andati oltre e ora riescono a creare interfacce fasulle per tante app di vario tipo, dove gli utenti devono digitare il numero della carta di credito o altri dati interessanti per gli hacker.

L’elenco delle app imitate è molto lungo e comprende differenti sistemi di pagamento, popolari app di messaggistica, app per acquistare biglietti aerei o camere d’albergo, lo store Google Play e Android Pay, app per pagare le multe etc. Di recente, i creatori di questi Trojan hanno iniziato a rubare informazioni bancarie dalle app dei servizi di taxi.

Iniezione del malware

Gli hacker possono anche prendere un’app legittima, capire come funziona e iniettare un codice dannoso preservando comunque le funzionalità dell’app originale. Infine l’app dannosa viene diffusa via Google Play o altri canali (impiegando soprattutto annunci dannosi su Google AdSense).

Per evitare che possa essere impiegato questo trucco, gli sviluppatori devono assicurarsi che le operazioni di ingegneria inversa e d’iniezione dei codice dannoso siano piuttosto laboriose, di modo che gli hacker pensino che non ne valga la pena. Gli sviluppatori utilizzano tecniche ben conosciute per rendere più robuste le proprie app e, in un mondo ideale, tutti gli sviluppatori le utilizzerebbero tutte le volte che creano un’app che gestisce dati sensibili. Purtroppo, nel mondo reale, ciò non accade sempre.

La minaccia principale

Grazie ai metodi appena descritti, le app dannose possono appropriarsi di username e password oppure dei codici PIN, così come del numero di telaio, tutti dati necessari per accedere alla app.

Dopo aver ottenuto questi dati, i cybercriminali non devono fare altro che installare l’app corrispondente sul proprio smartphone e potranno così aprire le portiere (tutte le app dispongono di questa opzione) o avviare il motore (non tutte le app lo permettono, ma la maggior parte sì) e rubare l’auto oppure rintracciare i movimenti del proprietario del veicolo.

Questa minaccia ha abbandonato il terreno della teoria per arrivare alla pratica. Nei forum della darknet si trovano ogni tanto degli annunci di compravendita di dati appartenenti ad account reali e presenti nelle app delle auto connesse. I prezzi per tali dati sono sorprendentemente alti, molto di più di quanto i cybercriminali sono soliti pagare per informazioni delle carte di credito.

Annunci nei forum della darknet che riguardano la compravendita di dati estratti dalle app per automobili.

I cybercriminali rispondono solerti alle nuove opportunità di guadagno; per cui è solo questione di tempo prima che gli attacchi alle app di auto connesse a Internet diventino all’ordine del giorno. 

Prima parte: 9 app di auto connesse a Internet, 0 protezione dai malware

Alla pubblicazione della prima parte dello studio, agli inizi del 2017, gli esperti hanno verificato nove app sviluppate dalle case automobilistiche più importanti e hanno scoperto che nessuna garantiva una protezione robusta dalle minacce descritte.

Lo ripetiamo ancora una volta: tutte le nove app erano vulnerabili agli attacchi più comuni.

Gli esperti di Kaspersky Lab ovviamente hanno contattato le case produttrici esponendo il problema prima di pubblicare i risultati.

Seconda parte: 13 app di auto connesse a Internet, 1 sola protegge (più o meno) dai malware

È sempre interessante vedere come evolvono gli eventi. Pochi giorni fa, Mikhail Kuzin ha presentato la seconda parte dello studio all’IAA 2017, il salone dell’automobile di Francoforte.

Gli esperti hanno aggiunto altre quattro app alla lista, analizzandone 13 in totale. Solo una delle nuove app sembra essere protetta e solo da uno delle tre tipologie di attacco (l’app non esegue operazioni se si rende conto che sul telefono è stato effettuato il rooting).

Ancora peggio: dalla nuova analisi è emerso che le nove app identificate come vulnerabili durante il primo studio, continuano a esserlo. Durante tutti questi mesi il problema era noto e gli sviluppatori non hanno fatto nulla. E, per di più, alcune di queste app non sono state aggiornate affatto dall’ultima volta.

Purtroppo le case produttrici di automobili, nonostante le conoscenze e il talento nel proprio settore, non hanno ancora esperienza nel campo della cybersicurezza e di come implementare misure di protezione adeguate ai propri modelli.

Ma non sono le sole. Si tratta di un problema comune a tutte le aziende che producono oggetti o elettrodomestici “smart”, ovvero connessi a Internet. In ogni caso, la sicurezza delle automobili diventa un problema importante e urgente, poiché gli hacker potrebbero provocare perdite per migliaia di dollari e mettere a rischio vite umane.

Fortunatamente, non è necessario formare in-house gli esperti in cybersicurezza, e neanche bisogna commettere sempre gli stessi errori. Siamo felici di collaborare con le case produttrici di automobili e di risolvere i problemi riguardanti le app o gli altri strumenti digitali.

Chiunque tema che il proprio smartphone possa essere accessibile ai cybercriminali dovrebbe installare una soluzione affidabile, che individui e blocchi i malware prima che riescano a intercettare informazioni importanti dal telefono.