{"id":26744,"date":"2022-05-30T11:00:11","date_gmt":"2022-05-30T09:00:11","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=26744"},"modified":"2022-05-30T11:00:27","modified_gmt":"2022-05-30T09:00:27","slug":"automotive-apps-security","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/automotive-apps-security\/26744\/","title":{"rendered":"App per auto: chi ha le chiavi della vostra macchina?"},"content":{"rendered":"

Tutte le auto moderne di oggi sono sostanzialmente un computer su quattro ruote e molte sono anche connesse a Internet. Di conseguenza, oltre ai veicoli stessi, le case automobilistiche stanno sviluppando app per controllarle da remoto. Queste app possono essere utilizzate per verificare la posizione dell\u2019auto, accendere in anticipo il riscaldamento o l\u2019aria condizionata, bloccare e sbloccare le portiere e molto altro.<\/p>\n

Tuttavia, ogni utente ha di certo esigenze diverse e spesso non \u00e8 possibile racchiudere tutte le funzioni e rispondere a tutte le necessit\u00e0 in un\u2019unica app. Quindi, oltre al software della casa automobilistica, esistono numerose app di terze parti per tutti i gusti e per tutti i portafogli. Certo, sono comode, ma sono sicure? I nostri ricercatori hanno deciso di indagare<\/a>.<\/p>\n

Chi sta realmente guidando la vostra auto?<\/h2>\n

Affinch\u00e9 l\u2019auto sappia che siete proprio voi a usare l\u2019app, dovete inserire il vostro username e password. Se si utilizza l\u2019app della casa automobilistica, le credenziali non vengono trasmesse a terzi, il che \u00e8 positivo. Inoltre, esistono standard di sicurezza che i fabbricanti di automobili devono rispettare.<\/p>\n

Se si sceglie un\u2019app esterna con alcune funzioni esclusive che non sono presenti nell\u2019app ufficiale, questa ha in qualche modo bisogno di accedere al veicolo o ai suoi dati telemetrici. Alcune app utilizzano soluzioni appositamente sviluppate dalla casa automobilistica, che non richiedono le vostre credenziali e hanno un accesso limitato al veicolo, consentendovi di utilizzare le loro funzionalit\u00e0 ma impedendo loro di compiere azioni pericolose, come sbloccare le portiere. Queste app sono abbastanza sicure, ma sono ancora poche.<\/p>\n

La maggior parte delle app per auto connesse richiede lo username e la password dell\u2019account che vi ha fornito il produttore; in altre parole, ottengono l\u2019accesso completo al vostro account. Purtroppo, per\u00f2, i requisiti di sicurezza che rispettano le case automobilistiche non si estendono a queste app, ed \u00e8 qui che sorge il problema.<\/p>\n

La fiducia \u00e8 tutto<\/h2>\n

Lo studio ha analizzato soprattutto le app di terze parti che utilizzano gli account forniti agli utenti dai fabbricanti del veicolo. Purtroppo, pi\u00f9 della met\u00e0 degli sviluppatori di app non avverte gli utenti dei rischi legati alla cessione dell\u2019account. Ci sono invece sviluppatori che avvertono gli utenti e che assicurano loro che non memorizzeranno le credenziali o che le memorizzeranno in forma criptata. Inoltre, ricordano agli utenti che lo username e la password sono necessari solo e unicamente per ottenere un token di autorizzazione. Il token consente a chiunque di utilizzare l\u2019account per conto dell\u2019utente, proprio come le credenziali di accesso, e anch\u2019esso potrebbe essere divulgato se conservato in modo improprio. Infine, va aggiunto che \u00e8 molto difficile verificare come vengano gestite le credenziali: in definitiva, o ci si fida degli sviluppatori o non si usa l\u2019app.<\/p>\n

Un altro dato da tenere in considerazione \u00e8 che, in base alle app analizzate dai nostri ricercatori, nel 14% dei casi \u00e8 impossibile contattare gli sviluppatori: le informazioni di contatto presenti sul loro sito erano assenti o rimandavano a pagine social che non esistono pi\u00f9.<\/p>\n

Per quanto riguarda i servizi web, la situazione si rivela essere molto simile: l\u2019utente condivide le proprie credenziali senza sapere con certezza come verranno conservate e trattate. Da questo punto di vista, le soluzioni open-source<\/em> sono pi\u00f9 trasparenti dato che gli utenti esperti di tecnologia possono almeno studiare il codice. Tuttavia, per le persone normali, che non possiedono conoscenze tecniche, sar\u00e0 estremamente difficile capirlo.<\/p>\n

Un altro problema \u00e8 che esistono servizi di intermediazione che collegano i sistemi della casa automobilistica alle app di terzi. Questi servizi vengono utilizzati dagli sviluppatori di app per auto e servizi web, ma gli utenti potrebbero non essere al corrente della loro esistenza. \u00c8 importante capire se le app per auto di terze parti che stiamo utilizzando funzionino attraverso un servizio di intermediazione oppure no, perch\u00e9 in tal caso tutti gli sviluppatori coinvolti entreranno in possesso delle vostre credenziali.<\/p>\n

App di terze parti che accedono alla vostra auto: qual \u00e8 il rischio?<\/h2>\n

Se le vostre credenziali non sono conservate in modo molto sicuro, sar\u00e0 facile per un hacker accedere a tali informazioni. Probabilmente non riusciranno a rubare l\u2019auto, ma potranno controllare a distanza elementi come porte e finestrini, climatizzazione, clacson, fari, ecc. Se un malintenzionato inizia a suonare il clacson o a lampeggiare a caso mentre state guidando, pu\u00f2 essere spiacevole, se non addirittura pericoloso.<\/p>\n

Sembra di essere in un film di James Bond, non \u00e8 vero? Chi mai potrebbe voler farvi fuori in un modo cos\u00ec elaborato? Purtroppo per\u00f2 la realt\u00e0 a volte supera la fantasia. Se questi dati dovessero diventare di dominio pubblico, potrebbero finire nelle mani di qualche burlone online (e ce ne sono tanti in giro per il mondo) che pensa solo a divertirsi e non alle conseguenze.<\/p>\n

Inoltre, se un\u2019app viene hackerata, i criminali informatici avranno accesso a tutti i dati raccolti, compresa la geolocalizzazione; e questa pu\u00f2 essere usata per tracciare gli spostamenti del proprietario dell\u2019auto, in ogni momento e da qualsiasi parte del mondo.<\/p>\n

Ecco un esempio recente. Non molto tempo fa, il diciannovenne David Colombo, esperto di sicurezza, ha accidentalmente scoperto<\/a> una vulnerabilit\u00e0 nell\u2019app TeslaMate, utilizzata per raccogliere, archiviare e visualizzare i dati telemetrici dei veicoli Tesla. L\u2019esperto \u00e8 riuscito a scoprire dove vivevano i proprietari delle auto, dove guidavano e a quale velocit\u00e0, dove erano parcheggiati i veicoli, dove erano stati ricaricati e quali aggiornamenti erano stati installati su quelle auto.<\/p>\n

Sebbene l\u2019app fosse stata progettata solo per raccogliere dati e non per controllare l\u2019auto, Colombo ci \u00e8 riuscito. Questo \u00e8 stato possibile perch\u00e9 la memoria che conteneva le credenziali dell\u2019utente era accessibile tramite la password predefinita, mentre alcune informazioni potevano essere recuperate senza alcuna autorizzazione. Colombo ha segnalato il problema agli sviluppatori dell\u2019app, che lo hanno risolto in tempi relativamente brevi. Nonostante il lieto fine, la vicenda dimostra che le app per auto di terze parti potrebbero non essere cos\u00ec affidabili come sostengono gli sviluppatori.<\/p>\n

Quindi, \u00e8 meglio smettere di usare le app di terze parti?<\/h2>\n

Tutto questo non significa che le app di terze parti non debbano essere utilizzate in nessun caso. Non tutti gli sviluppatori sono indifferenti alla sicurezza dei dati degli utenti. Come abbiamo osservato, i creatori di TeslaMate hanno risposto piuttosto rapidamente alla segnalazione della vulnerabilit\u00e0 e hanno risolto il problema. Inoltre, come gi\u00e0 detto, esistono app che non richiedono l\u2019accesso completo all\u2019account fornito dalla casa automobilistica<\/p>\n

Detto questo, se avete bisogno di funzioni non presenti nell\u2019app ufficiale del veicolo, fate attenzione all\u2019app esterna che scegliete: se possibile, scegliete un\u2019app di uno sviluppatore affidabile che almeno non nasconda i propri dati di contatto e rispetti il concetto di trasparenza. Cercate i report e le opinioni degli esperti di sicurezza e leggete i feedback degli utenti esperti di tecnologia che conoscono il funzionamento e i rischi di queste app.<\/p>\n

Se state gi\u00e0 utilizzando un\u2019app di terze parti ma volete smettere di usarla, sappiate che la semplice disinstallazione dallo smartphone potrebbe non essere sufficiente. Ecco alcuni consigli!<\/p>\n

    \n
  • Verificate se dovete anche annullare l\u2019iscrizione o cancellare il vostro account con il servizio.<\/li>\n
  • Per sicurezza, cambiate la password dell\u2019account che vi ha dato la casa automobilistica.<\/li>\n
  • Se possibile, revocate l\u2019accesso dell\u2019app al vostro account contattando il sito web del produttore o l\u2019assistenza tecnica.<\/li>\n<\/ul>\n\n","protected":false},"excerpt":{"rendered":"

    La maggior parte delle app per auto di terze parti richiede l’accesso al vostro account ufficiale che vi \u00e8 stato fornito dal produttore. Ma sono sicure?<\/p>\n","protected":false},"author":2477,"featured_media":26745,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,2195],"tags":[202,1124,1125,620,1364],"class_list":{"0":"post-26744","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-technology","9":"tag-app","10":"tag-auto","11":"tag-auto-connesse","12":"tag-internet-delle-cose","13":"tag-iot"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/automotive-apps-security\/26744\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/automotive-apps-security\/24209\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/automotive-apps-security\/19691\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/automotive-apps-security\/26535\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/automotive-apps-security\/24493\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/automotive-apps-security\/24844\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/automotive-apps-security\/27214\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/automotive-apps-security\/33228\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/automotive-apps-security\/10726\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/automotive-apps-security\/44425\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/automotive-apps-security\/18950\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/automotive-apps-security\/19494\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/automotive-apps-security\/28754\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/automotive-apps-security\/25071\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/auto\/","name":"auto"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/26744","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2477"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=26744"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/26744\/revisions"}],"predecessor-version":[{"id":26747,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/26744\/revisions\/26747"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/26745"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=26744"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=26744"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=26744"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}