2016/02/26

Come prendere il controllo di una Nissan Leaf via Internet: sicurezza zero

Le automobili sono sempre più informatizzate e interconnesse, per cui è nato il nuovo problema della sicurezza informatica su quattro ruote. Il ricercatore di sicurezza Troy Hunt ha scoperto una falla sorprendente nel servizio di gestione via Internet delle auto elettriche Nissan Leaf: ha intercettato il traffico di dati dell’app sulla propria rete Wi-Fi e ha visto con stupore che la comunicazione fra app e automobile non è protetta e non ha alcuna password: l’accesso a un’auto o a un’altra dipende soltanto da quale VIN, il numero univoco di identificazione di ogni vettura, si immette nell’URL.

Nissan Connect, l'app fornita da Nissan per monitorare a distanza lo stato di carica e gestire l'aria condizionata e il riscaldamento, è dunque totalmente priva di autenticazione ed è facilissimo prendere il controllo di una Leaf altrui se se ne conosce il VIN.

E il VIN è in bella mostra nell’angolo inferiore del parabrezza.

Hunt ha dimostrato il problema sulla Nissan Leaf di un collega, Scott Helme, con il consenso di quest’ultimo, scoprendo inoltre che è possibile accedere ai dati personali degli utenti e ricostruire i loro spostamenti, e ha avvisato Nissan, che per ora non ha corretto la falla. Intanto gli appassionati di auto elettriche sono arrivati indipendentemente alla stessa scoperta, creando delle app alternative migliori di quelle della Nissan, per cui è solo questione di tempo prima che qualcuno abusi della sicurezza inesistente della Leaf.

E se vi sembra che accendere per dispetto il riscaldamento o l’aria condizionata sia tutto sommato una burla da poco, tenete presente che si tratta di un’auto elettrica, per cui queste accensioni, specialmente se ripetute, scaricano la batteria: sono, in sostanza, l’equivalente di poter accendere il motore di un’auto tradizionale fino a svuotarne il serbatoio.


2016/03/05: Nei giorni scorsi Nissan ha rimosso l’app da Internet. Secondo le segnalazioni dei lettori, il riscaldamento della Leaf può essere acceso a distanza soltanto quando l’auto è sotto carica, per cui la falla non può essere sfruttata per scaricare completamente la batteria. Restano confermate le falle di privacy che permettono di sapere in dettaglio la cronologia degli spostamenti dell’auto e quindi del suo conducente.


Fonti aggiuntive: The Register.

Nessun commento:

Posta un commento

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine per dispositivi mobili