ALLERTA PERICOLI INFORMATICI

App di terze parti che accedono alla vostra auto: qual รจ il rischio?

App di terze parti che accedono alla vostra auto: qual รจ il rischio?
Scritto da gestore

Tutte le auto moderne di oggi sono sostanzialmente un computer su quattro ruote e molte sono anche connesse a Internet. Di conseguenza, oltre ai veicoli stessi, le case automobilistiche stanno sviluppando app per controllarle da remoto. Queste app possono essere utilizzate per verificare la posizione dellโ€™auto, accendere in anticipo il riscaldamento o lโ€™aria condizionata, bloccare e sbloccare le portiere e molto altro.

Tuttavia, ogni utente ha di certo esigenze diverse e spesso non รจ possibile racchiudere tutte le funzioni e rispondere a tutte le necessitร  in unโ€™unica app. Quindi, oltre al software della casa automobilistica, esistono numerose app di terze parti per tutti i gusti e per tutti i portafogli. Certo, sono comode, ma sono sicure? I nostri ricercatori hanno deciso diย indagare.

Intermezzo promozionale ... continua la lettura dopo il box:

Chi sta realmente guidando la vostra auto?

Affinchรฉ lโ€™auto sappia che siete proprio voi a usare lโ€™app, dovete inserire il vostro username e password. Se si utilizza lโ€™app della casa automobilistica, le credenziali non vengono trasmesse a terzi, il che รจ positivo. Inoltre, esistono standard di sicurezza che i fabbricanti di automobili devono rispettare.

Se si sceglie unโ€™app esterna con alcune funzioni esclusive che non sono presenti nellโ€™app ufficiale, questa ha in qualche modo bisogno di accedere al veicolo o ai suoi dati telemetrici. Alcune app utilizzano soluzioni appositamente sviluppate dalla casa automobilistica, che non richiedono le vostre credenziali e hanno un accesso limitato al veicolo, consentendovi di utilizzare le loro funzionalitร  ma impedendo loro di compiere azioni pericolose, come sbloccare le portiere. Queste app sono abbastanza sicure, ma sono ancora poche.

La maggior parte delle app per auto connesse richiede lo username e la password dellโ€™account che vi ha fornito il produttore; in altre parole, ottengono lโ€™accesso completo al vostro account. Purtroppo, perรฒ, i requisiti di sicurezza che rispettano le case automobilistiche non si estendono a queste app, ed รจ qui che sorge il problema.

La fiducia รจ tutto

Lo studio ha analizzato soprattutto le app di terze parti che utilizzano gli account forniti agli utenti dai fabbricanti del veicolo. Purtroppo, piรน della metร  degli sviluppatori di app non avverte gli utenti dei rischi legati alla cessione dellโ€™account. Ci sono invece sviluppatori che avvertono gli utenti e che assicurano loro che non memorizzeranno le credenziali o che le memorizzeranno in forma criptata. Inoltre, ricordano agli utenti che lo username e la password sono necessari solo e unicamente per ottenere un token di autorizzazione. Il token consente a chiunque di utilizzare lโ€™account per conto dellโ€™utente, proprio come le credenziali di accesso, e anchโ€™esso potrebbe essere divulgato se conservato in modo improprio. Infine, va aggiunto che รจ molto difficile verificare come vengano gestite le credenziali: in definitiva, o ci si fida degli sviluppatori o non si usa lโ€™app.

Un altro dato da tenere in considerazione รจ che, in base alle app analizzate dai nostri ricercatori, nel 14% dei casi รจ impossibile contattare gli sviluppatori: le informazioni di contatto presenti sul loro sito erano assenti o rimandavano a pagine social che non esistono piรน.

Per quanto riguarda i servizi web, la situazione si rivela essere molto simile: lโ€™utente condivide le proprie credenziali senza sapere con certezza come verranno conservate e trattate. Da questo punto di vista, le soluzioniย open-sourceย sono piรน trasparenti dato che gli utenti esperti di tecnologia possono almeno studiare il codice. Tuttavia, per le persone normali, che non possiedono conoscenze tecniche, sarร  estremamente difficile capirlo.

Un altro problema รจ che esistono servizi di intermediazione che collegano i sistemi della casa automobilistica alle app di terzi. Questi servizi vengono utilizzati dagli sviluppatori di app per auto e servizi web, ma gli utenti potrebbero non essere al corrente della loro esistenza. รˆ importante capire se le app per auto di terze parti che stiamo utilizzando funzionino attraverso un servizio di intermediazione oppure no, perchรฉ in tal caso tutti gli sviluppatori coinvolti entreranno in possesso delle vostre credenziali.

App di terze parti che accedono alla vostra auto: qual รจ il rischio?

Se le vostre credenziali non sono conservate in modo molto sicuro, sarร  facile per un hacker accedere a tali informazioni. Probabilmente non riusciranno a rubare lโ€™auto, ma potranno controllare a distanza elementi come porte e finestrini, climatizzazione, clacson, fari, ecc. Se un malintenzionato inizia a suonare il clacson o a lampeggiare a caso mentre state guidando, puรฒ essere spiacevole, se non addirittura pericoloso.

Sembra di essere in un film di James Bond, non รจ vero? Chi mai potrebbe voler farvi fuori in un modo cosรฌ elaborato? Purtroppo perรฒ la realtร  a volte supera la fantasia. Se questi dati dovessero diventare di dominio pubblico, potrebbero finire nelle mani di qualche burlone online (e ce ne sono tanti in giro per il mondo) che pensa solo a divertirsi e non alle conseguenze.

Inoltre, se unโ€™app viene hackerata, i criminali informatici avranno accesso a tutti i dati raccolti, compresa la geolocalizzazione; e questa puรฒ essere usata per tracciare gli spostamenti del proprietario dellโ€™auto, in ogni momento e da qualsiasi parte del mondo.

Ecco un esempio recente. Non molto tempo fa, il diciannovenne David Colombo, esperto di sicurezza, ha accidentalmenteย scopertoย una vulnerabilitร  nellโ€™app TeslaMate, utilizzata per raccogliere, archiviare e visualizzare i dati telemetrici dei veicoli Tesla. Lโ€™esperto รจ riuscito a scoprire dove vivevano i proprietari delle auto, dove guidavano e a quale velocitร , dove erano parcheggiati i veicoli, dove erano stati ricaricati e quali aggiornamenti erano stati installati su quelle auto.

Sebbene lโ€™app fosse stata progettata solo per raccogliere dati e non per controllare lโ€™auto, Colombo ci รจ riuscito. Questo รจ stato possibile perchรฉ la memoria che conteneva le credenziali dellโ€™utente era accessibile tramite la password predefinita, mentre alcune informazioni potevano essere recuperate senza alcuna autorizzazione. Colombo ha segnalato il problema agli sviluppatori dellโ€™app, che lo hanno risolto in tempi relativamente brevi. Nonostante il lieto fine, la vicenda dimostra che le app per auto di terze parti potrebbero non essere cosรฌ affidabili come sostengono gli sviluppatori.

Quindi, รจ meglio smettere di usare le app di terze parti?

Tutto questo non significa che le app di terze parti non debbano essere utilizzate in nessun caso. Non tutti gli sviluppatori sono indifferenti alla sicurezza dei dati degli utenti. Come abbiamo osservato, i creatori di TeslaMate hanno risposto piuttosto rapidamente alla segnalazione della vulnerabilitร  e hanno risolto il problema. Inoltre, come giร  detto, esistono app che non richiedono lโ€™accesso completo allโ€™account fornito dalla casa automobilistica

Detto questo, se avete bisogno di funzioni non presenti nellโ€™app ufficiale del veicolo, fate attenzione allโ€™app esterna che scegliete: se possibile, scegliete unโ€™app di uno sviluppatore affidabile che almeno non nasconda i propri dati di contatto e rispetti il concetto di trasparenza. Cercate i report e le opinioni degli esperti di sicurezza e leggete i feedback degli utenti esperti di tecnologia che conoscono il funzionamento e i rischi di queste app.

Se state giร  utilizzando unโ€™app di terze parti ma volete smettere di usarla, sappiate che la semplice disinstallazione dallo smartphone potrebbe non essere sufficiente. Ecco alcuni consigli!

  • Verificate se dovete anche annullare lโ€™iscrizione o cancellare il vostro account con il servizio.
  • Per sicurezza, cambiate la password dellโ€™account che vi ha dato la casa automobilistica.
  • Se possibile, revocate lโ€™accesso dellโ€™app al vostro account contattando il sito web del produttore o lโ€™assistenza tecnica.

Fonte :

App per auto: chi ha le chiavi della vostra macchina?

Panoramica privacy
Blog Sicurezza Informatica Facile

Questo sito web utilizza i cookie per consentirci di fornirti la migliore esperienza utente possibile. Le informazioni sui cookie vengono memorizzate nel tuo browser ed eseguono funzioni come riconoscerti quando ritorni sul nostro sito Web e aiutare il nostro team a capire quali sezioni del sito Web trovi piรน interessanti e utili.

Cookie strettamente necessari

I cookie strettamente necessari dovrebbero essere sempre attivati, per poter salvare le tue preferenze per le impostazioni dei cookie ed avere una navigazione sul sito ottimale.

Se disabiliti questo cookie, non saremo in grado di salvare le tue preferenze. Ciรฒ significa che ogni volta che visiti questo sito web dovrai abilitare o disabilitare nuovamente i cookie.

Cookie di terze parti

Questo sito Web utilizza Google Tag Manager per aggiornare rapidamente e con facilitร  i codici di monitoraggio e Google Analytics per raccogliere informazioni anonime come il numero di visitatori del sito e le pagine piรน popolari.

Mantenere questo cookie abilitato ci aiuta a migliorare il nostro sito Web. Vi siamo molto grati di questo!