Tutte le auto moderne di oggi sono sostanzialmente un computer su quattro ruote e molte sono anche connesse a Internet. Di conseguenza, oltre ai veicoli stessi, le case automobilistiche stanno sviluppando app per controllarle da remoto. Queste app possono essere utilizzate per verificare la posizione dellโauto, accendere in anticipo il riscaldamento o lโaria condizionata, bloccare e sbloccare le portiere e molto altro.
Tuttavia, ogni utente ha di certo esigenze diverse e spesso non รจ possibile racchiudere tutte le funzioni e rispondere a tutte le necessitร in unโunica app. Quindi, oltre al software della casa automobilistica, esistono numerose app di terze parti per tutti i gusti e per tutti i portafogli. Certo, sono comode, ma sono sicure? I nostri ricercatori hanno deciso diย indagare.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Chi sta realmente guidando la vostra auto?
Affinchรฉ lโauto sappia che siete proprio voi a usare lโapp, dovete inserire il vostro username e password. Se si utilizza lโapp della casa automobilistica, le credenziali non vengono trasmesse a terzi, il che รจ positivo. Inoltre, esistono standard di sicurezza che i fabbricanti di automobili devono rispettare.
Se si sceglie unโapp esterna con alcune funzioni esclusive che non sono presenti nellโapp ufficiale, questa ha in qualche modo bisogno di accedere al veicolo o ai suoi dati telemetrici. Alcune app utilizzano soluzioni appositamente sviluppate dalla casa automobilistica, che non richiedono le vostre credenziali e hanno un accesso limitato al veicolo, consentendovi di utilizzare le loro funzionalitร ma impedendo loro di compiere azioni pericolose, come sbloccare le portiere. Queste app sono abbastanza sicure, ma sono ancora poche.
La maggior parte delle app per auto connesse richiede lo username e la password dellโaccount che vi ha fornito il produttore; in altre parole, ottengono lโaccesso completo al vostro account. Purtroppo, perรฒ, i requisiti di sicurezza che rispettano le case automobilistiche non si estendono a queste app, ed รจ qui che sorge il problema.
La fiducia รจ tutto
Lo studio ha analizzato soprattutto le app di terze parti che utilizzano gli account forniti agli utenti dai fabbricanti del veicolo. Purtroppo, piรน della metร degli sviluppatori di app non avverte gli utenti dei rischi legati alla cessione dellโaccount. Ci sono invece sviluppatori che avvertono gli utenti e che assicurano loro che non memorizzeranno le credenziali o che le memorizzeranno in forma criptata. Inoltre, ricordano agli utenti che lo username e la password sono necessari solo e unicamente per ottenere un token di autorizzazione. Il token consente a chiunque di utilizzare lโaccount per conto dellโutente, proprio come le credenziali di accesso, e anchโesso potrebbe essere divulgato se conservato in modo improprio. Infine, va aggiunto che รจ molto difficile verificare come vengano gestite le credenziali: in definitiva, o ci si fida degli sviluppatori o non si usa lโapp.
Un altro dato da tenere in considerazione รจ che, in base alle app analizzate dai nostri ricercatori, nel 14% dei casi รจ impossibile contattare gli sviluppatori: le informazioni di contatto presenti sul loro sito erano assenti o rimandavano a pagine social che non esistono piรน.
Per quanto riguarda i servizi web, la situazione si rivela essere molto simile: lโutente condivide le proprie credenziali senza sapere con certezza come verranno conservate e trattate. Da questo punto di vista, le soluzioniย open-sourceย sono piรน trasparenti dato che gli utenti esperti di tecnologia possono almeno studiare il codice. Tuttavia, per le persone normali, che non possiedono conoscenze tecniche, sarร estremamente difficile capirlo.
Un altro problema รจ che esistono servizi di intermediazione che collegano i sistemi della casa automobilistica alle app di terzi. Questi servizi vengono utilizzati dagli sviluppatori di app per auto e servizi web, ma gli utenti potrebbero non essere al corrente della loro esistenza. ร importante capire se le app per auto di terze parti che stiamo utilizzando funzionino attraverso un servizio di intermediazione oppure no, perchรฉ in tal caso tutti gli sviluppatori coinvolti entreranno in possesso delle vostre credenziali.
Intermezzo promozionale ... continua la lettura dopo il box:
App di terze parti che accedono alla vostra auto: qual รจ il rischio?
Se le vostre credenziali non sono conservate in modo molto sicuro, sarร facile per un hacker accedere a tali informazioni. Probabilmente non riusciranno a rubare lโauto, ma potranno controllare a distanza elementi come porte e finestrini, climatizzazione, clacson, fari, ecc. Se un malintenzionato inizia a suonare il clacson o a lampeggiare a caso mentre state guidando, puรฒ essere spiacevole, se non addirittura pericoloso.
Sembra di essere in un film di James Bond, non รจ vero? Chi mai potrebbe voler farvi fuori in un modo cosรฌ elaborato? Purtroppo perรฒ la realtร a volte supera la fantasia. Se questi dati dovessero diventare di dominio pubblico, potrebbero finire nelle mani di qualche burlone online (e ce ne sono tanti in giro per il mondo) che pensa solo a divertirsi e non alle conseguenze.
Inoltre, se unโapp viene hackerata, i criminali informatici avranno accesso a tutti i dati raccolti, compresa la geolocalizzazione; e questa puรฒ essere usata per tracciare gli spostamenti del proprietario dellโauto, in ogni momento e da qualsiasi parte del mondo.
Ecco un esempio recente. Non molto tempo fa, il diciannovenne David Colombo, esperto di sicurezza, ha accidentalmenteย scopertoย una vulnerabilitร nellโapp TeslaMate, utilizzata per raccogliere, archiviare e visualizzare i dati telemetrici dei veicoli Tesla. Lโesperto รจ riuscito a scoprire dove vivevano i proprietari delle auto, dove guidavano e a quale velocitร , dove erano parcheggiati i veicoli, dove erano stati ricaricati e quali aggiornamenti erano stati installati su quelle auto.
Sebbene lโapp fosse stata progettata solo per raccogliere dati e non per controllare lโauto, Colombo ci รจ riuscito. Questo รจ stato possibile perchรฉ la memoria che conteneva le credenziali dellโutente era accessibile tramite la password predefinita, mentre alcune informazioni potevano essere recuperate senza alcuna autorizzazione. Colombo ha segnalato il problema agli sviluppatori dellโapp, che lo hanno risolto in tempi relativamente brevi. Nonostante il lieto fine, la vicenda dimostra che le app per auto di terze parti potrebbero non essere cosรฌ affidabili come sostengono gli sviluppatori.
Quindi, รจ meglio smettere di usare le app di terze parti?
Tutto questo non significa che le app di terze parti non debbano essere utilizzate in nessun caso. Non tutti gli sviluppatori sono indifferenti alla sicurezza dei dati degli utenti. Come abbiamo osservato, i creatori di TeslaMate hanno risposto piuttosto rapidamente alla segnalazione della vulnerabilitร e hanno risolto il problema. Inoltre, come giร detto, esistono app che non richiedono lโaccesso completo allโaccount fornito dalla casa automobilistica
Detto questo, se avete bisogno di funzioni non presenti nellโapp ufficiale del veicolo, fate attenzione allโapp esterna che scegliete: se possibile, scegliete unโapp di uno sviluppatore affidabile che almeno non nasconda i propri dati di contatto e rispetti il concetto di trasparenza. Cercate i report e le opinioni degli esperti di sicurezza e leggete i feedback degli utenti esperti di tecnologia che conoscono il funzionamento e i rischi di queste app.
Se state giร utilizzando unโapp di terze parti ma volete smettere di usarla, sappiate che la semplice disinstallazione dallo smartphone potrebbe non essere sufficiente. Ecco alcuni consigli!
- Verificate se dovete anche annullare lโiscrizione o cancellare il vostro account con il servizio.
- Per sicurezza, cambiate la password dellโaccount che vi ha dato la casa automobilistica.
- Se possibile, revocate lโaccesso dellโapp al vostro account contattando il sito web del produttore o lโassistenza tecnica.
Fonte :
