Le vulnerabilità delle API interessano i veicoli di 16 produttori: potrebbero essere sfruttate per sbloccare, avviare e tracciare le auto.
I molteplici bug rischiano inoltre di incidere sulla privacy dei proprietari, esponendo le loro informazioni personali.
Vulnerabilità API: milioni di veicoli a rischio
Le vulnerabilità di sicurezza sono state riscontrate nelle API automobilistiche che alimentano Acura, BMW, Ferrari, Ford, Genesis, Honda, Hyundai, Infiniti, Jaguar, Kia, Land Rover, Mercedes-Benz, Nissan, Porsche, Rolls Royce, Toyota e nel software di Reviver, SiriusXM e Spireon.
Le falle sono di vario tipo. Alcune consentono l’accesso ai sistemi interni dell’azienda e alle informazioni degli utenti. Altre debolezze consentirebbero a un aggressore di inviare comandi a distanza per ottenere l’esecuzione di codice.
La ricerca si basa sulle scoperte precedenti della fine dello scorso anno, quando Sam Curry e altri ricercatori di Yuga Labs hanno descritto in dettaglio le falle di sicurezza di un servizio per veicoli connessi fornito da SiriusXM, che potrebbero mettere le auto a rischio di attacchi remoti.
Il problema più grave, che riguarda la soluzione telematica di Spireon, avrebbe potuto essere sfruttato per ottenere un accesso amministrativo completo. Consentendo così a un avversario di impartire comandi arbitrari a circa 15,5 milioni di veicoli e di aggiornare il firmware del dispositivo.
Riportiamo la dichiarazione dei ricercatori:
Questo ci avrebbe permesso di rintracciare e spegnere i dispositivi di avviamento della polizia, delle ambulanze e dei veicoli delle forze dell’ordine di diverse grandi città e di inviare comandi a tali veicoli.
I rischi delle falle di sicurezza
Le vulnerabilità individuate in Mercedes-Benz potrebbero garantire l’accesso alle applicazioni interne tramite uno schema di autenticazione SSO (Single Sign-On) configurato in modo improprio. Altre vulnerabilità potrebbero consentire l’acquisizione dell’account utente e la divulgazione di informazioni sensibili.
Altre falle rendono possibile l’accesso o la modifica dei dati dei clienti, dei portali interni dei concessionari, la localizzazione GPS dei veicoli in tempo reale. E anche la gestione dei dati delle targhe di tutti i clienti Reviver e persino l’aggiornamento dello stato del veicolo come “rubato”.
Tutte le vulnerabilità di sicurezza sono state corrette dai rispettivi produttori, in seguito alla divulgazione. Tuttavia, i risultati evidenziano la necessità di una strategia di difesa per contenere le minacce e mitigare i rischi.
I ricercatori hanno osservato che “se un aggressore fosse in grado di trovare vulnerabilità negli endpoint API utilizzati dai sistemi telematici dei veicoli, potrebbe suonare il clacson, far lampeggiare le luci, rintracciare, bloccare/sbloccare e avviare/arrestare i veicoli da remoto”.
Come affrontare gli attacchi
Sandeep Singh, senior manager dei servizi tecnici di HackerOne, ha spiegato la necessità di collaborare con la comunità degli hacker etici.
L’interconnessione dei nostri dispositivi sta rendendo la sicurezza delle automobili più impegnativa, come dimostra l’aumento del 225% dei cyberattacchi alle automobili negli ultimi tre anni, con l’84,5% di questi attacchi eseguiti da remoto.
Singh ha aggiunto che “con l’avanzare della tecnologia delle automobili, aumenta anche la complessità dei loro sistemi software intelligenti”. Ha poi sottolineato che l’identificazione delle vulnerabilità della catena di fornitura del software causate dalle funzioni intelligenti richiede una “profonda conoscenza dei sistemi software e hardware e una comprensione dei protocolli personalizzati specifici dei veicoli connessi e dei sistemi automobilistici”.