Cerca nel blog

2019/03/12

Internet delle Cose: antifurto “smart” per auto non è affatto smart

Questo articolo può essere ascoltato qui su Radio Inblu.

In informatica, e soprattutto nella sicurezza informatica, ci sono due regole non scritte ma fondamentali. La prima è che la parola “smart”, anche se letteralmente significa “intelligente”, deve essere capita come sinonimo di “vulnerabile”. Far diventare “smart” un oggetto lo fa diventare attaccabile. Un orologio normale non è un rischio di sicurezza: un orologio “smart”, invece, contiene dati e connessioni usabili per esempio per localizzare una persona o sapere quando è sveglia o dorme o è in intimità. I battiti del cuore e i movimenti, registrati da questi dispositivi, sanno essere molto rivelatori.

La seconda regola è che non bisogna mai vantarsi che il proprio prodotto sia “inattaccabile” o “a prova di hacker”, perché farlo è un invito a nozze per qualunque appassionato esperto che abbia voglia di divertirsi a saggiare questa presunta invulnerabilità e far fare al produttore una pessima figura pubblica.

Indovinate cos’è successo quando due aziende che vendono antifurto per auto hanno deciso di violare entrambe queste regole, introducendo un antifurto “smart” e vantandosi che era “a prova di hacker”. I ricercatori si sono scatenati e hanno dimostrato in pochissimo tempo che questi antifurto erano attaccabilissimi e anzi rendevano meno sicura l’auto rispetto agli antifurto non “smart”.

Questi antifurto, distribuiti sotto vari marchi, sono comandabili tramite smartphone e via Internet. Idea interessante, ma realizzata talmente male che tutto quello che doveva fare un aggressore era inviare un indirizzo di mail differente da quello del proprietario nei parametri passati al sito di gestione degli antifurto. Questo gli faceva ricevere un codice di reset o reimpostazione dell’account dell’antifurto e gli permetteva di prendere il controllo di questo account.

Fatto questo, poteva localizzare l’auto tramite GPS, sapere di che marca e modello si tratta (per non perdere tempo con auto che valgono poco), aprirne le serrature e persino avviarne il motore. In uno dei modelli di antifurto “smart” era anche possibile attivare i microfoni di bordo e ascoltare le conversazioni delle persone presenti nell’auto.

Un video dimostrativo, realizzato dalla società di sicurezza Pen Test Partners, mostra tutto questo e aggiunge una chicca finale: l’aggressore fa scattare l’allarme di un’auto in movimento, disorientando il conducente, che accosta, e poi gli spegne il motore, immobilizzando l’auto. Uno scenario perfetto per un’aggressione fisica.


Ma per fortuna il video è realizzato in condizioni controllate e la vittima è un collega consenziente degli esperti di sicurezza, che oltretutto si sono comportati responsabilmente e hanno già provveduto ad allertare con discrezione i fabbricanti, che hanno corretto la falla.

La morale di questa storia è chiara ma frequentemente trascurata: nella corsa verso soluzioni “smart”, che fanno sembrare all’avanguardia un prodotto, ci si dimentica spesso che la sicurezza non si ottiene a colpi di slogan e che ogni funzione in più è un appiglio in più per un aggressore. Conviene quindi adottare soluzioni semplici, con meno effetti speciali e più sostanza reale, e tenere d’occhio le recensioni degli esperti prima di fare qualunque acquisto digitale.


Fonti: The Register, Hot for Security.

Nessun commento: