{"id":17710,"date":"2019-07-30T14:01:30","date_gmt":"2019-07-30T12:01:30","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=17710"},"modified":"2020-05-19T19:25:46","modified_gmt":"2020-05-19T17:25:46","slug":"smart-driving-security-test","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/smart-driving-security-test\/17710\/","title":{"rendered":"Pi\u00f9 facile con un piede di porco: hackerare accessori IoT per auto"},"content":{"rendered":"

Parliamo spesso delle vulnerabilit\u00e0 dei diversi dispositivi IoT, dalle telecamere intelligenti<\/a> ai sex toy<\/a>. Questa volta, i nostri ricercatori hanno deciso di scoprire se alcuni accessori per auto sono efficientemente protetti.<\/p>\n

Cosa abbiamo testato<\/h2>\n

Per il test, abbiamo scelto una serie di dispositivi con funzionalit\u00e0 differenti: un paio di lettori OBD, un sistema di monitoraggio della pressione\/temperatura degli pneumatici, un localizzatore GPS connesso a Internet, una telecamera da cruscotto e un allarme intelligente per auto.<\/p>\n

Lettore OBD scanner vs lettore Bluetooth<\/h3>\n

Cosa abbiamo esaminato? <\/strong>Un dispositivo che si collega al connettore OBD all\u2019interno dell\u2019auto e trasmette dati su velocit\u00e0, accelerazione, numero di giri del motore, ecc. a uno smartphone collegato tramite Bluetooth. I dati possono essere osservati durante la guida e successivamente sovrapposti alla registrazione video nell\u2019app correlata.<\/p>\n

Cosa abbiamo scoperto? <\/strong>Lo scanner utilizza il suo indirizzo MAC<\/a> come \u00a0numero di serie e come password richiesta per connettersi a esso. Il problema \u00e8 che il lettore trasmette l\u2019indirizzo MAC tramite Bluetooth, visualizzato da tutti i dispositivi entro un raggio di poche decine di metri.<\/p>\n

Quindi per connettersi al dispositivo, un potenziale cybercriminale ha solo bisogno di analizzare l\u2019etere e leggere l\u2019indirizzo MAC.<\/p>\n

Qual \u00e8 il rischio?<\/strong> Fortunatamente, il dispositivo testato legge solo i dati del veicolo e non influisce sul suo comportamento. Pertanto, anche se qualcun altro dall\u2019esterno riuscisse a connettersi, non sarebbe in grado di fare del male al conducente, ma solo di visualizzare una registrazione della guida e alcuni parametri del veicolo.<\/p>\n

Un altro lettore OBD: connesso a Internet significa sicuro?<\/h3>\n

Cosa abbiamo esaminato? <\/strong>Un lettore OBD connesso a Internet<\/p>\n

Cosa abbiamo scoperto?<\/strong> La casa produttrice del dispositivo ha fatto un grande sforzo per proteggere il firmware. Comunque sia, dopo aver provato diversi metodi, gli esperti di Kaspersky sono riusciti a estrarre il firmware dalla memoria del dispositivo e hanno trovato un modo per modificarlo.<\/p>\n

Tuttavia, si \u00e8 scoperto che la memoria del lettore era in grado solamente di registrare parametri ed errori. Il dispositivo non pu\u00f2 essere utilizzato come trampolino di lancio per hackerare i sistemi elettronici della vettura.<\/p>\n

Qual \u00e8 il rischio?<\/strong> Gli utenti non hanno niente da temere. La casa produttrice del dispositivo ha fornito solo le caratteristiche necessarie per svolgere il suo compito principale e niente di pi\u00f9. Quindi, oltre ad accedere al registro degli errori, gli hacker non hanno nulla con cui divertirsi.<\/p>\n

\u00a0Il sistema di monitoraggio della pressione e temperatura degli pneumatici<\/h3>\n

Cosa abbiamo esaminato? <\/strong>Come previsto, questo dispositivo \u00e8 stato progettato per visualizzare i dati di pressione e temperatura degli pneumatici, e per notificare al conducente se i valori sono troppo alti o troppo bassi. Si compone di quattro sensori (uno per ruota), uno schermo e un\u2019unit\u00e0 di controllo.<\/p>\n

Cosa abbiamo scoperto? <\/strong>Dato che i sensori trasmettono le informazioni all\u2019unit\u00e0 di controllo via radio, i nostri esperti hanno deciso di provare a intercettare e sostituire i dati usando un ricevitore SDR (software-defined radio)<\/a>. Per fare ci\u00f2, era necessario conoscere il numero di serie di ogni sensore e quale parte del suo segnale in uscita contiene dati sulle variazioni di pressione\/temperatura della ruota. Dopo diverse indagini, i nostri esperti hanno trovato quello che cercavano.<\/p>\n

Tuttavia, va notato che la sostituzione del segnale richiede in pratica una comunicazione permanente con i sensori: l\u2019antenna del ricevitore deve rimanere puntata verso l\u2019auto della vittima e muoversi alla stessa velocit\u00e0.<\/p>\n

Qual \u00e8 il rischio? <\/strong>Sostituendo i segnali del sensore, i cybercriminali possono far visualizzare avvisi di malfunzionamenti inesistenti, costringendo il conducente a fermare l\u2019auto. Tuttavia, per la buona riuscita di un attacco, i malintenzionati hanno bisogno di essere vicini al bersaglio. Alla luce di quanto detto, i proprietari del dispositivo non dovrebbero preoccuparsi troppo.<\/p>\n

Un allarme super smart<\/h3>\n

Cosa abbiamo esaminato? <\/strong>Un sistema di sicurezza intelligente che apre e chiude gli sportelli dell\u2019auto e accende il motore. Pu\u00f2 essere controllato o dalla chiave elettronica o via Bluetooth attraverso l\u2019app per Android.<\/p>\n

Cosa abbiamo scoperto?<\/strong> La chiave elettronica comunica con il sistema di sicurezza attraverso un canale cifrato Inoltre, gli sviluppatori hanno protetto la connessione Bluetooth per la gestione via smartphone: i dispositivi si collegano tra loro durante l\u2019installazione dell\u2019allarme, quindi la connessione da un altro smartphone non funzioner\u00e0.<\/p>\n

L\u2019anello pi\u00f9 debole nel sistema di sicurezza sembra essere l\u2019applicazione. In primo luogo, non viene richiesta una password o dati biometrici per accedervi. Inoltre, \u00e8 possibile inviare comandi al sistema di sicurezza senza un\u2019ulteriore autorizzazione. In altre parole, rubando il vostro telefono con lo schermo sbloccato, i cybercriminali ricevono la vostra auto in omaggio.<\/p>\n

La seconda minaccia che gli utenti dell\u2019allarme smart devono affrontare \u00e8 l\u2019infezione dello smartphone. Un Trojan che simula il movimento delle dita attraverso lo schermo rende relativamente facile aprire l\u2019auto e accendere il motore. A una condizione: lo smartphone del proprietario deve essere situato vicino alla macchina in quel momento ed essere connesso all\u2019allarme via Bluetooth.<\/p>\n

Qual \u00e8 il rischio? <\/strong>Anche se i nostri esperti sono riusciti a mettere insieme un meccanismo di attacco attuabile, non \u00e8 molto applicabile nella vita reale. In primo luogo, \u00e8 alquanto complicato. In secondo luogo, bisogna infettare specificatamente lo smartphone in questione. In terzo luogo, per attuare il piano, lo smartphone del proprietario deve essere in prossimit\u00e0 del veicolo, cosa che rende un attacco di questo tipo pi\u00f9 difficile da mettere in pratica. Ma soprattutto, \u00e8 facile proteggersi: basta installare una protezione affidabile<\/a> sullo smartphone e non dimenticare di bloccare lo schermo con una password.<\/p>\n\n

Localizzatore GPS<\/h3>\n

Cosa abbiamo esaminato? <\/strong>Un localizzatore GPS standard connesso ad Internet e che trasmette dati sui movimenti del veicolo. Questo tipo di localizzatore pu\u00f2 essere usato per monitorare corrieri e pacchetti o tenere d\u2019occhio i veicoli a noleggio.<\/p>\n

Cosa abbiamo scoperto? Se si hackera l\u2019account di amministratore sul server del localizzatore GPS, si pu\u00f2 ottenere l\u2019accesso al database dell\u2019utente che contiene percorsi, dati bancari, nomi, contatti e altri dati importanti. Un attacco all\u2019account dell\u2019utente (pi\u00f9 probabile per la mancanza dell\u2019autenticazione a due fattori) consente di ottenere l\u2019accesso ai dati del cliente.<\/p>\n

Qual \u00e8 il rischio?<\/strong> Teoricamente, un attacco al localizzatore GPS pu\u00f2 essere usato per la sorveglianza e la raccolta di dati. Tuttavia, i nostri esperti ritengono che la probabilit\u00e0 di un attacco sia bassa.<\/p>\n

Sorridete, siete su una candid camera sicura!<\/h3>\n

Cosa abbiamo esaminato? <\/strong>Una telecamera da cruscotto. Questo dispositivo risponde ai comandi vocali, pu\u00f2 identificare indipendentemente situazioni potenzialmente pericolose e registrarle, <\/strong>adattarsi a diversi livelli di illuminazione e, naturalmente, interagire con lo smartphone o il tablet via Wi-Fi.<\/p>\n

Cosa abbiamo scoperto? <\/strong>In teoria, collegando uno smartphone alla telecamera, i cybercriminali potrebbero creare scompiglio. Comunque, in questo caso, il sistema di sicurezza \u00e8 all\u2019altezza. Per esempio, non \u00e8 solamente protetto con una password che pu\u00f2 essere cambiata, il sistema avvisa inoltre l\u2019utente di creare una propria password invece di usarne una di default quando si connette per la prima volta. E per collegare un nuovo telefono, l\u2019utente deve premere un pulsante speciale che si trova sulla telecamera stessa.<\/p>\n

Qual \u00e8 il rischio? Senza un accesso fisico alla telecamera, i cybercriminali non possono n\u00e9 interferire con le sue operazioni n\u00e9 entrare in possesso di registrazioni. Nel caso in cui riuscissero a ottenere l\u2019accesso fisico, sarebbe altrettanto facile rubare la memory card della telecamera.\u00a0<\/strong><\/p>\n

Conclusioni<\/h2>\n

In termini di attacco fisico, la sicurezza della maggior parte dei dispositivi IoT testati \u00e8 perfettamente adeguata. Ci sono sicuramente delle vulnerabilit\u00e0, ma sono difficili da sfruttare nella vita reale. Sembra che le case produttrici abbiano iniziato a prestare maggiore attenzione alla sicurezza dei prodotti e questo fa ben sperare per il futuro del mercato dei dispositivi intelligenti.<\/p>\n

Per ulteriori dettagli sulla ricerca di vulnerabilit\u00e0 dei dispositivi automobilistici e le conclusioni degli esperti, potete leggere il report integrale su Securelist<\/a>.\u00a0<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"

I nostri esperti hanno cercato di hackerare sei accessori smart per auto per scoprire come i produttori proteggono i clienti. <\/p>\n","protected":false},"author":2484,"featured_media":17711,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[12],"tags":[1124,689,897,620,1364,191,3156],"class_list":{"0":"post-17710","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-auto","9":"tag-automobili","10":"tag-hackeraggio","11":"tag-internet-delle-cose","12":"tag-iot","13":"tag-kaspersky-lab","14":"tag-veicolo"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/smart-driving-security-test\/17710\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/smart-driving-security-test\/16275\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/smart-driving-security-test\/13781\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/smart-driving-security-test\/6397\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/smart-driving-security-test\/18283\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/smart-driving-security-test\/16359\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/smart-driving-security-test\/15052\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/smart-driving-security-test\/18978\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/smart-driving-security-test\/23229\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/smart-driving-security-test\/6313\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/smart-driving-security-test\/27761\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/smart-driving-security-test\/12068\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/smart-driving-security-test\/12178\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/smart-driving-security-test\/11030\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/smart-driving-security-test\/19841\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/smart-driving-security-test\/23863\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/smart-driving-security-test\/18744\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/smart-driving-security-test\/23088\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/smart-driving-security-test\/23028\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/internet-delle-cose\/","name":"internet delle cose"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/17710","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2484"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=17710"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/17710\/revisions"}],"predecessor-version":[{"id":21652,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/17710\/revisions\/21652"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/17711"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=17710"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=17710"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=17710"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}