Quanto sono sicure le app mobile per le auto connesse?
Negli ultimi anni le auto connesse sono diventate sempre più evolute tra sistemi di infotainment e aspetti critici dei sistemi dei veicoli come la chiusura delle porte e l’accensione, che sono ora disponibili online. Con l’aiuto delle applicazioni mobile, è ora possibile ottenere le coordinate di posizione del veicolo e il suo percorso, aprire le porte, avviare il motore e controllare i dispositivi in-car aggiuntivi.
Da un lato si tratta di funzioni estremamente utili, mentre dall’altro viene spontaneo chiedersi come le case di produzione proteggano queste app dal rischio di attacchi cyber. I ricercatori di Kaspersky Lab hanno così testato sette applicazioni per il controllo da remoto delle auto sviluppate dalle principali case automobilistiche che, secondo le statistiche di Google Play, sono state scaricate decine di migliaia di volte, raggiungendo in alcuni casi anche cinque milioni di download.
La ricerca ha rivelato che ognuna delle app esaminate conteneva diversi problemi di sicurezza. Ecco i principali.
- Nessuna difesa dal reverse engineering dell’applicazione. I cyber criminali possono capire come funziona l’app e trovare una vulnerabilità che permetta loro di ottenere l’accesso all’infrastruttura lato server o al sistema multimediale delle auto connesse.
- Nessun controllo dell’integrità del codice. Caratteristica che permette ai criminali di inserire il proprio codice nell’app e sostituire il programma originale con uno falso.
- Nessuna tecnica di rilevamento del rooting. I permessi di root forniscono ai trojan capacità quasi illimitate e lasciano l’app senza difese.
- Assenza di protezione da tecniche di overlay delle app. In questo modo le app dannose riescono a mostrare schermate di phishing e a rubare le credenziali degli utenti.
- Username e password archiviate con testo in chiaro. Usando questa debolezza, un criminale può rubare i dati dell’utente in maniera relativamente facile.
In caso di attacco andato a buon fine un cyber criminale può controllare la macchina, sbloccare le porte, spegnere l’allarme di sicurezza e, teoricamente, rubare il veicolo. In ogni caso il vettore di attacco richiederebbe una preparazione aggiuntiva, come indurre i proprietari delle applicazioni a installare specifiche app dannose appositamente sviluppate in grado di ottenere i permessi di root del dispositivo e accedere alle applicazioni dell’auto.
Tuttavia, come gli esperti di Kaspersky Lab hanno scoperto dalla ricerca su molte altre applicazioni nocive che prendono di mira le credenziali per l’online banking e altre importanti informazioni, è improbabile che questo rappresenti un problema per criminali esperti in tecniche di social engineering.
I ricercatori di Kaspersky Lab consigliano infine agli utenti delle app per le auto connesse di seguire le seguenti regole per proteggere le auto e le informazioni personali da possibili attacchi.
- Non eseguire il root dei propri dispositivi Android.
- Disattivare la possibilità di installare applicazioni da fonti diverse dall’app store ufficiale.
- Tenere il sistema operativo aggiornato alla versione più recente per ridurre le vulnerabilità del software e diminuire il rischio di attacco.
- Installare una soluzione di sicurezza affidabile per proteggere il dispositivo dai cyber attacchi.