skip to main | skip to sidebar
31 commenti

Come prendere il controllo di una Nissan Leaf via Internet: sicurezza zero

Le automobili sono sempre più informatizzate e interconnesse, per cui è nato il nuovo problema della sicurezza informatica su quattro ruote. Il ricercatore di sicurezza Troy Hunt ha scoperto una falla sorprendente nel servizio di gestione via Internet delle auto elettriche Nissan Leaf: ha intercettato il traffico di dati dell’app sulla propria rete Wi-Fi e ha visto con stupore che la comunicazione fra app e automobile non è protetta e non ha alcuna password: l’accesso a un’auto o a un’altra dipende soltanto da quale VIN, il numero univoco di identificazione di ogni vettura, si immette nell’URL.

Nissan Connect, l'app fornita da Nissan per monitorare a distanza lo stato di carica e gestire l'aria condizionata e il riscaldamento, è dunque totalmente priva di autenticazione ed è facilissimo prendere il controllo di una Leaf altrui se se ne conosce il VIN.

E il VIN è in bella mostra nell’angolo inferiore del parabrezza.

Hunt ha dimostrato il problema sulla Nissan Leaf di un collega, Scott Helme, con il consenso di quest’ultimo, scoprendo inoltre che è possibile accedere ai dati personali degli utenti e ricostruire i loro spostamenti, e ha avvisato Nissan, che per ora non ha corretto la falla. Intanto gli appassionati di auto elettriche sono arrivati indipendentemente alla stessa scoperta, creando delle app alternative migliori di quelle della Nissan, per cui è solo questione di tempo prima che qualcuno abusi della sicurezza inesistente della Leaf.

E se vi sembra che accendere per dispetto il riscaldamento o l’aria condizionata sia tutto sommato una burla da poco, tenete presente che si tratta di un’auto elettrica, per cui queste accensioni, specialmente se ripetute, scaricano la batteria: sono, in sostanza, l’equivalente di poter accendere il motore di un’auto tradizionale fino a svuotarne il serbatoio.


2016/03/05: Nei giorni scorsi Nissan ha rimosso l’app da Internet. Secondo le segnalazioni dei lettori, il riscaldamento della Leaf può essere acceso a distanza soltanto quando l’auto è sotto carica, per cui la falla non può essere sfruttata per scaricare completamente la batteria. Restano confermate le falle di privacy che permettono di sapere in dettaglio la cronologia degli spostamenti dell’auto e quindi del suo conducente.


Fonti aggiuntive: The Register.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (31)
È un complotto... ti vendono un'auto convincendoti che consuma meno (fatto, tra l'altro, tutt'ora non dimostrabile facilmente nè chiaramente) e chi governa il mondo ti scarica la batteria per farti consumare altra elettricità, e quindi altro petrolio ;)
Meglio la bicicletta.
Casi come questi sono sempre più frequenti, è triste dirlo ma dove non arriva l'intelligenza di chi progetta, magari perché i capoccioni non vogliono spendere "inutilmente", deve arrivare la normativa inserendo delle verifiche sulla sicurezza informatica fra i requisiti per l'omologazione delle automobili.
E' un fatto gravissimo, i produttori di apparati connessi a internet, auto comprese, hanno sottovalutato in maniera ingiustificabile la sicurezza dei loro prodotti su internet
Si può comandare con l'app? (cit.)
Parere personale: BANDIAMO INTERNET DALLE AUTO. Lo grido perché sia ben chiaro.

Troppi rischi per la sicurezza, troppe possibilità di distrazione, il tutto per una utilità pratica che francamente mi sfugge: se accosti per leggere il dannatissimo SMS non succede nulla di male, e se quell'SMS non è meritevole del tempo perso ad accostare, allora non era così urgente da leggere.
Si può comandare con l'app?

lol !
Fare cose troppo facili col VIN è abbastanza tipico. Funziona anche con le FIAT... Ok, puoi solo sapere targa e proprietario se usi l'app Ciao FIAT ma dimmi che è poco.. Per fortuna che il VIN delle FIAT è dentro l'abitacolo.
Sulle vecchie auto il VIN (vehicle id number), cioè il numero di serie del telaio, era scritto SUL telaio: dovevi aprire il cofano e guardare una staffa a destra o sinistra del motore.
Adesso i costruttori lo mettono in bella evidenza, sul cruscotto o sul parabrezza, che NON fanno parte del telaio vero e proprio.
A me sembra stupido: oltre alla violazione della privacy, c'è anche il caso che se devo cambiare quel pezzo, non ho più il numero di serie.
@rico
Adesso i costruttori lo mettono in bella evidenza, sul cruscotto o sul parabrezza, che NON fanno parte del telaio vero e proprio.
A me sembra stupido: oltre alla violazione della privacy, c'è anche il caso che se devo cambiare quel pezzo, non ho più il numero di serie


Non è vero.
Le auto hanno sempre il numero di telaio stampigliato su di esso.

Riprodurlo sui vetri e cruscotto serve per complicare la vita a chi ruba un'auto e ne vuole contraffare il telaio e il libretto di circolazione per renderla "pulita": se lo fa è costretto a cambiare anche tutti i vetri che non può rimediare da un'altra auto rubata perché anche quest'ultima li ha col telaio stampigliato.
@Guastulfo (Giuseppe)

Rico parlava del n° VIN riportato dietro il parabrezza lato conducente, non obbligatorio in Europa ma solo in Nord America: targhetta riepilogativa

Anche a me non piace.
Si è tutto veramente imbarazzante per la nissan (o meglio per chia ha sviluppato l'app) ma il vero pericolo e solo quello di carpire dati. Al punto finale dove dice:
E se vi sembra che accendere per dispetto il riscaldamento o l’aria condizionata sia tutto sommato una burla da poco,...... sono, in sostanza, l’equivalente di poter accendere il motore di un’auto tradizionale fino a svuotarne il serbatoio.”
non è corretto visto che il climatizzatore si può accendere solo se la macchina è collegata ad una punto di ricarica!(e il costo è flat) forse è il caso di limitare la critica più l'aspetto sicurezza dati, come del resto è per tutte le app in circolazione di qualsiasi natura. Grazie
Volevo rispondere a Paolo Alberton. Ho acquistato un auto elettrica da circa 9 mesi.
Ho percorso fino ad ora circa 17.000 kilometri spendendo solamente 270 euro di ricarica.
Ricarica che viene solo da fonti rinnovabili!(dichiara l'enel) Non ho costi di manutenzione ne di bollo.
L'unico guaio deriva dalle scarse colonnine di ricarica a disposizione, dal loro cattivo funzionamento e dall'inciviltà degli automobilisti che scambiano le aree di ricarica per un parcheggio! L'unico costo straordinario che ho sostenuto è stato causato dalle cattive condizioni dell'asfalto (le buche per intenderci). Il complotto, se c'è, di chi governa il mondo è verso il monopolio di questa risorsa e verso i "gommisti"!
@Guastulfo (Giuseppe), la maggior parte delle auto rubate viene riciclata a pezzi, se devono rinunciano ai vetri.
Comunque si, mettere in bella vista il numerello sul parabrezza, per me aiuta più i ladri delle forze dell'ordine.
non imparano mai... Mi chiedo, ma chi progetta il software? E chi fa i test? Possibile che nessun esperto di sicurezza c'abbia mai messo le mani sopra prima di andare in produzione?
@rico, motogiò

Ok, ora mi è più chiaro il concetto.

In effetti quando acquistai la mia Uno di seconda mano, il vecchio propietario aveva due chiavi, una per una portiera e una per il resto della vettura. Siccome si trattava della mia prima auto (e ancora oggi è la prima :-) ) mi recai presso una concessionaria Fiat per ordinare la serratura originale (se così si può dire) in modo da tornare a utilizzare una sola chiave per tutto. Per far ciò usarono il numero di telaio dell'auto.

Se la banca dati dei VIN è gestita "allegramente" può diventare piuttosto semplice ordinare la chiave giusta per aprire l'auto di qualcuno.
Cosa non conveniente per la mia Uno (il costo dell'operazione supererebbe il valore della mia auto :-) ) ma per un'auto di fascia superiore il discorso cambia.
@ Chicco

Volevo rispondere a Paolo Alberton. Ho acquistato un auto elettrica da circa 9 mesi.
Ho percorso fino ad ora circa 17.000 kilometri spendendo solamente 270 euro di ricarica.
Ricarica che viene solo da fonti rinnovabili!(dichiara l'enel) Non ho costi di manutenzione ne di bollo.


Come al solito, vale la pena ricordare che vivi in un mondo dorato e superagevolato, perché le auto elettriche sono poche e perché politicamente si cerca di avvantaggiarle. Fossero la maggioranza, potresti scordarti l'energia solo da fonti rinnovabili, potresti scordarti i 6 centesimi a KWh, potresti scordarti il bollo gratuito. E la manutenzione esiste lo stesso, anche se è decisamente meno costosa: freni, gomme, batterie, filtri abitacolo, ammortizzatori, luci, pulizia, rimangono. In più ci sarebbe il discorso della gestione e/o sostituzione e/o smaltimento delle batterie.

Intendiamoci, è un gran bell'andare, ma le differenze reali in costi e impatto abientale delle elettriche rispetto alle ICE sono, allo stato attuale, sorprendentemente piccole per quello che siamo abituati a considerarle.


L'unico guaio deriva dalle scarse colonnine di ricarica a disposizione,


E più le auto elettriche si diffonderanno, più la ricarica sarà un problema. Non perché ci sarà qualcuno parcheggiato dove non deve, ma perché ci sarà qualcun altro a ricaricare, e magari ti faranno ricaricare solo in certe ore, magari a targhe alterne, per evitare picchi di richiesta.

Pensa alla richiesta energetica delle auto elettriche: finora hai usato 4500 KWh di elettricità per fare 17k km circa. Se la maggioranza delle auto fosse elettrica, una richiesta simile sarebbe, a tutt'oggi, insostenibile senza bruciare combustibili fossili. Ammesso che sia sostenibile in senso stretto.

L'unico vero vantaggio è che le auto elettriche verosimilmente miglioreranno in efficienza. E francamente non vedo l'ora.

Chicco
Quali fonti rinnovabili? Mi dimostri questa cosa? Le colonnine ti ricaricano l'auto con elettricità proveniente da fonti rinnovabili? Ma soprattutto, tutti i possessori di auto elettriche o ibride hanno la possibilità di ricaricare le proprie batterie connettendosi ad una rete che fornisce energia elettrica ottenuta esclusivamente da fonti rinnovabili? Per non parlare di questioni logistiche tipo: usi esclusivamente auto elettrica oppure in qualche caso usi un'auto normale? E se fosse che usi solo ed esclusivamente un'auto elettrica è così per tutti i possessori di auto elettrica?
Io non volevo far polemica anzi... ma da quello che dici sembra chiaro che dimostrare il risparmio che si ha con un'auto elettrica è tutt'ora difficile da dimostrare chiaramente.
Se ricarichi l'auto di notte, per esempio, mi sembra difficile dimostrare che la corrente arrivi da fonti rinnovabili. Chi mi assicura che l'elettrico non arriva dal gasolio piuttosto che dall'acqua? Se la carichi di giorno chi mi assicura che dalla colonnina esce elettrico preso dal sole o dal vento? Ma soprattutto, il giorno in cui ci saranno auto elettriche in numero sufficiente a coprire e poi superare l'offerta (esigua in Italia) rinnovabile chi mi dice che la mia auto è stata ricaricata con l'acqua e la tua con il carbone?
Certo, avrai un risparmio personale, che al momento è ammortizzato dal governo e di conseguenza da tutti i cittadini. Ma quando le auto elettriche saranno in numero sufficiente credi che l'elettrico costerà così poco se di pari passo non cresceranno tecnologie e quindi offette di elettrico rinnovabile?
Sì dire "elettrico" al posto di elettricità è orribile. Ma è anche terribile dover continuare a sentir gente convinta di risparmiare ad usare auto elettriche. Se avessi soldi io me la comprerei un'auto elettrica, ma per principio, per convinzione, perchè dovrà diffondersi tirandosi dietro tecnologia produzione dell'elettrico rinnovabile, per risparmiare domani forse, o far risparmiare le generazioni future. Non per risparmiare oggi.
mi recai presso una concessionaria Fiat … Per far ciò usarono il numero di telaio dell'auto.
Se la banca dati dei VIN è gestita "allegramente" può diventare piuttosto semplice ordinare la chiave giusta per aprire l'auto di qualcuno.


Non credo sia così facile e semplice come non credo sia bastato comunicare a voce il numero di telaio per avere copia delle chiavi, avranno voluto vedere il libretto di circolazione, avranno visto che la tua auto era già nella tua disponibilità e magari ti avranno chiesto anche nome e indirizzo …

Se poi hanno anche cambiato serratura avranno pur lavorato direttamente sul veicolo, no?

Cambiando la batteria mi era saltato il codice della radio; per ripristinarlo, alla Ford, mi hanno chiesto il libretto, appunto.
> tutti i possessori di auto elettriche o ibride hanno la possibilità di ricaricare le proprie batterie connettendosi ad una rete che fornisce energia elettrica ottenuta esclusivamente da fonti rinnovabili?

Ho un'auto ibrida e per quanto ne so nessun possessore di auto ibrida ha la possibilità di ricaricare le batterie connettendosi alla rete elettrica. Le batterie di una "normale auto ibrida" si ricaricano esclusivamente con benzina o metano, oltre che con l'energia recuperata dalle frenate e in discesa. C'è chi ha metanizzato la Prius e un giorno vorrei farlo anch'io sulla mia Auris, ma niente rete elettrica :-)
@grammarfone
Non credo sia così facile e semplice come non credo sia bastato comunicare a voce il numero di telaio per avere copia delle chiavi, avranno voluto vedere il libretto di circolazione, avranno visto che la tua auto era già nella tua disponibilità e magari ti avranno chiesto anche nome e indirizzo …

Sì sì, mi sono recato con l'auto. L'avevo solo sottinteso.
Resta comunque il fatto che:
- i tipi di serrature non sono infiniti: una stessa chiave può aprire più auto;

- se si andasse a scoprire una relazione tra VIN e serrature (spero che non esista) per un ladro sarebbe un gioco da ragazzi aprire l'auto (basta portarsi un mazzo di chiavi procurato presso un qualche demolitore disonesto) e riprogrammare la centralina in modo che accetti la chiave con cui è stata aperta per avviare anche il motore (il mio meccanico usa un software generico che fa molte cose con le centraline di molte marche d'auto anche se non so se è in grado di riprogrammare anche le chiavi).

La cattiva gestione della sicurezza informatica mi fa pensare male per la gestione della sicurezza delle auto anche contro i furti anche se è solo una sensazione non basata su dati concreti.
bubbalù,

per quanto ne so nessun possessore di auto ibrida ha la possibilità di ricaricare le batterie connettendosi alla rete elettrica.

PHEV.
Io sono proprietario di una Leaf e, per quanto sia una falla imperdonabile e assurda, devo comunque correggere un'affermazione scorretta presente nell'articolo: il sistema di condizionamento da remoto funziona solo quando la percentuale di carica della batteria è sopra l'80% o quando l'auto è collegata alla rete elettrica. Quindi, non è possibile scaricare l'auto fino a farla rimanere senza elettricità.
Grazie Paolo, hai ragione. Anzi avete ragione entrambi i Paoli.
Mi era sfuggita questa evoluzione, per fortuna non mi sono persa niente a livello di acquisto, vista l'inaccessibilità economica :-) Magari tra una decina d'anni, per il prossimo cambio auto, i prezzi saranno scesi ulteriormente.
il problema e' che elettrica o a combustibili fossili l'automobile rimane comunque uno "spreco" - perche' e' un mezzo individuale, quindi ti porta da A a B e poi nel resto del tempo rimane ferma ad occupare posto. Inoltre che sia elettrica o meno genera traffico (anche se non rumore). il vero modo di cambiare e' usare i mezzi pubblici, almeno chi puo' (ovvio un rappresentate o un corriere non possono muoversi in treno/autobus)...
Domanda stupida: ma al posto del VIN non potrebbero usare un altro codice identificativo, una password?

Non che questo migliori di molto la situazione (il vero problema è che basti un URL pubblico per accedere), ma almeno non è come andare in giro con la password scritta in fronte.
@Paolo Alberton
"Se ricarichi l'auto di notte, per esempio, mi sembra difficile dimostrare che la corrente arrivi da fonti rinnovabili. Chi mi assicura che l'elettrico non arriva dal gasolio piuttosto che dall'acqua? Se la carichi di giorno chi mi assicura che dalla colonnina esce elettrico preso dal sole o dal vento? Ma soprattutto, il giorno in cui ci saranno auto elettriche in numero sufficiente a coprire e poi superare l'offerta (esigua in Italia) rinnovabile chi mi dice che la mia auto è stata ricaricata con l'acqua e la tua con il carbone?"

Volevo ricordare che di nottte l'unica "rinnovabile" funzionante e' l'eolico, dato che il solare non funziona per ovvi motivi (a meno che qualcuno non ci metta dei lampioni sopra alimentati tramite elettronucleare, cosa che non mi sento di escludere, viste le truffe che girano nel settore), mentre per l'idroelettrico, vista la minore richiesta che abbatte i prezzi di vendita, le centrali sono tutte occupate a funzionare alla rovescia, pompando dal bacino basso per riempire il bacino alto per il giorno dopo, il tutto utilizzando l'elettronucleare Francese che non essendo modulabile di notte diventa estremamente economico.
@Bubbalù
"Ho un'auto ibrida e per quanto ne so nessun possessore di auto ibrida ha la possibilità di ricaricare le batterie connettendosi alla rete elettrica."

Opel Ampera/Chevrolet Volt.
@Turz
perche' se lo facessero probabilmente la stamperebbero sul cruscotto...
Smiley1081
Grazie per la precisazione. Nella mia ignoranza ero stato addirittura troppo buono. Sarei curioso di sapere quante auto elettriche riesco a caricare in Italia con l'eolico nazionale.
Oggi come oggi l'unico compromesso utile e davvero conveniente per popolazione e pianeta è il nucleare da fissione. In attesa della fusione, ma per allora, foese qualcosa potrebbe arrivare da altre tecnologie.
Smiley1081
Però mi sembra di ricordare che esistono anche centrali idroelettriche che sfruttano la morfologia del terreno, e/o l'eventuale modifica di esso, con bacini naturali o arificiali che vengono riempiti da un corso d'acqua e dal naturale dislivello negativo alla quale viene posta la turbina.