La prima fase dello studio ha avuto luogo verso la fine del 2016. Successivamente, durante la conferenza RSA di febbraio 2017, gli analisti antivirus Mikhail Kuzin e Viktor Chebyshev hanno presentato il report App mobile e furto delle auto connesse a Internet<\/em> (Mobile apps and stealing a connected car<\/a>). Gli esperti hanno analizzato alcune app Android che consentono agli utenti di controllare in remoto le auto connesse a Internet in azioni come apertura delle portiere, accensione del motore, localizzazione del veicolo, indicazioni dal cruscotto etc.<\/p>\n I nostri esperti hanno analizzato nove app mobile delle case automobilistiche pi\u00f9 grandi per verificarne il livello di sicurezza. Lo scopo era quello di verificare se tali app fossero immuni a tre tipici attacchi delle app Android dannose: rooting (ottenere le autorizzazioni di root sul dispositivo), sovrapposizione del l\u2019interfaccia originale con una finestra falsa e iniezione di un codice dannoso nell\u2019app legittima.<\/p>\n Innanzitutto, cerchiamo di capire per quale motivo questi attacchi sono cos\u00ec pericolosi:<\/p>\n https:\/\/cdn.securelist.com\/files\/2017\/02\/cars_research_en_1.png<\/p>\n In modalit\u00e0 operativa standard, tutte le app Android immagazzinano dati (anche quelli importanti come username, password o altro) in sezioni isolate della memoria a cui le altre app non possono accedere. Il rooting interrompe questo sistema di sicurezza: con i permessi di root, un\u2019app dannosa pu\u00f2 ottenere l\u2019accesso ai dati immagazzinati da altre app e rubarli.<\/p>\n Molti malware ne approfittano. Circa il 30% dei malware Android pi\u00f9 comuni utilizza vulnerabilit\u00e0 nel sistema operativo per effettuare il rooting dei dispositivi. Inoltre, molti utenti facilitano il lavoro dei virus ed effettuano loro stessi il rooting dei propri dispositivi Android<\/a>, operazione che non consigliamo a meno che non siate sicuri al 100% di saper proteggere il vostro smartphone o tablet.<\/p>\n Il trucchetto \u00e8 molto semplice da eseguire. Il malware registra le app nel momento in cui vengono aperte dall\u2019utente e proprio allora il malware sovrappone la finestra della app con una dannosa dall\u2019apparenza simile (o addirittura identica). Si tratta di un processo istantaneo, per cui l\u2019utente non ha la possibilit\u00e0 di notare anomalie.<\/p>\n Quando l\u2019utente inserisce i propri dati personali nella falsa schermata, pensando di interagire con l\u2019app legittima, il malware si appropria di username, password, numeri di carte di credito e altri dati d\u2019interesse.<\/p>\n Il trucco della sovrapposizione dell\u2019interfaccia \u00e8 un\u2019arma standard dei Trojan che colpiscono le app bancarie. Ma, come potete vedere, non si applica solo a quest\u2019area: i creatori di questi Trojan sono andati oltre e ora riescono a creare interfacce fasulle per tante app di vario tipo, dove gli utenti devono digitare il numero della carta di credito o altri dati interessanti per gli hacker.<\/p>\n L\u2019elenco delle app imitate \u00e8 molto lungo e comprende differenti sistemi di pagamento, popolari app di messaggistica<\/a>, app per acquistare biglietti aerei o camere d\u2019albergo, lo store Google Play<\/a> e Android Pay, app per pagare le multe etc. Di recente, i creatori di questi Trojan hanno iniziato a rubare informazioni bancarie dalle app dei servizi di taxi<\/a>.<\/p>\n Gli hacker possono anche prendere un\u2019app legittima, capire come funziona e iniettare un codice dannoso preservando comunque le funzionalit\u00e0 dell\u2019app originale. Infine l\u2019app dannosa viene diffusa via Google Play o altri canali (impiegando soprattutto annunci dannosi su Google AdSense).<\/p>\n Per evitare che possa essere impiegato questo trucco, gli sviluppatori devono assicurarsi che le operazioni di ingegneria inversa e d\u2019iniezione dei codice dannoso siano piuttosto laboriose, di modo che gli hacker pensino che non ne valga la pena. Gli sviluppatori utilizzano tecniche ben conosciute per rendere pi\u00f9 robuste le proprie app e, in un mondo ideale, tutti gli sviluppatori le utilizzerebbero tutte le volte che creano un\u2019app che gestisce dati sensibili. Purtroppo, nel mondo reale, ci\u00f2 non accade sempre.<\/p>\n Grazie ai metodi appena descritti, le app dannose possono appropriarsi di username e password oppure dei codici PIN, cos\u00ec come del numero di telaio, tutti dati necessari per accedere alla app.<\/p>\n Dopo aver ottenuto questi dati, i cybercriminali non devono fare altro che installare l\u2019app corrispondente sul proprio smartphone e potranno cos\u00ec aprire le portiere (tutte le app dispongono di questa opzione) o avviare il motore (non tutte le app lo permettono, ma la maggior parte s\u00ec) e rubare l\u2019auto oppure rintracciare i movimenti del proprietario del veicolo.<\/p>\n Questa minaccia ha abbandonato il terreno della teoria per arrivare alla pratica. Nei forum della darknet si trovano ogni tanto degli annunci di compravendita di dati appartenenti ad account reali e presenti nelle app delle auto connesse. I prezzi per tali dati sono sorprendentemente alti, molto di pi\u00f9 di quanto i cybercriminali sono soliti pagare per informazioni delle carte di credito.<\/p>\n Annunci nei forum della darknet che riguardano la compravendita di dati estratti dalle app per automobili.<\/p><\/div>\n \u00a0<\/p>\n I cybercriminali rispondono solerti alle nuove opportunit\u00e0 di guadagno; per cui \u00e8 solo questione di tempo prima che gli attacchi alle app di auto connesse a Internet diventino all\u2019ordine del giorno.\u00a0<\/strong><\/p>\n Alla pubblicazione della prima parte dello studio, agli inizi del 2017, gli esperti hanno verificato nove app sviluppate dalle case automobilistiche pi\u00f9 importanti e hanno scoperto che nessuna garantiva una protezione robusta dalle minacce descritte<\/a>.<\/p>\n Lo ripetiamo ancora una volta: tutte le nove app erano vulnerabili agli attacchi pi\u00f9 comuni.<\/p>\n Gli esperti di Kaspersky Lab ovviamente hanno contattato le case produttrici esponendo il problema prima di pubblicare i risultati.<\/p>\n \u00c8 sempre interessante vedere come evolvono gli eventi. Pochi giorni fa, Mikhail Kuzin ha presentato la seconda parte dello studio all\u2019IAA 2017, il salone dell\u2019automobile di Francoforte.<\/p>\n Gli esperti hanno aggiunto altre quattro app alla lista, analizzandone 13 in totale. Solo una delle nuove app sembra essere protetta e solo da uno delle tre tipologie di attacco (l\u2019app non esegue operazioni se si rende conto che sul telefono \u00e8 stato effettuato il rooting).<\/p>\n Ancora peggio: dalla nuova analisi \u00e8 emerso che le nove app identificate come vulnerabili durante il primo studio, continuano a esserlo. Durante tutti questi mesi il problema era noto e gli sviluppatori non hanno fatto nulla. E, per di pi\u00f9, alcune di queste app non sono state aggiornate affatto<\/em> dall\u2019ultima volta.<\/p>\n Purtroppo le case produttrici di automobili, nonostante le conoscenze e il talento nel proprio settore, non hanno ancora esperienza nel campo della cybersicurezza e di come implementare misure di protezione adeguate ai propri modelli.<\/p>\n Ma non sono le sole. Si tratta di un problema comune a tutte le aziende che producono oggetti o elettrodomestici \u201csmart\u201d, ovvero connessi a Internet. In ogni caso, la sicurezza delle automobili diventa un problema importante e urgente, poich\u00e9 gli hacker potrebbero provocare perdite per migliaia di dollari e mettere a rischio vite umane.<\/p>\n Fortunatamente, non \u00e8 necessario formare in-house <\/em>gli esperti in cybersicurezza, e neanche bisogna commettere sempre gli stessi errori. Siamo felici di collaborare con le case produttrici di automobili<\/a> e di risolvere i problemi riguardanti le app o gli altri strumenti digitali.<\/p>\nVettori di attacco potenziali<\/strong><\/h1>\n
Rooting<\/strong><\/h2>\n
Sovrapposizione dell\u2019interfaccia della app<\/strong><\/h2>\n
Iniezione del malware<\/strong><\/h2>\n
La minaccia principale<\/strong><\/h2>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2017\/09\/20131901\/darknet-ads.jpg\")
Prima parte: 9 app di auto connesse a Internet, 0 protezione dai malware<\/strong><\/h2>\n
Seconda parte: 13 app di auto connesse a Internet, 1 sola protegge (pi\u00f9 o meno) dai malware<\/strong><\/h2>\n