immagine-preview

Nov 22, 2018

L’attacco CarsBlues potrebbe minacciare decine di milioni di veicoli in circolazione

Avete sincronizzato il vostro smartphone con un veicolo? CarsBlues è un nuovo attacco che potentialmente potrebbe esporre i vostri dati personali.

CarsBlues è un nuovo attacco che frutta le connessioni Bluetooth dei veicoli e che mette a rischio decine milioni di auto in circolazione.

CarsBlues sfrutta alcune falle di sicurezza nei sistemi di intrattenimento installati su diversi tipi di veicoli che consentono l’accesso via Bluetooth, la tecnica consente ad un attaccante di accedere ai dati personali del conducente e non solo.

L’attacco è stato messo a punto dall’azienda Privacy4Cars, l’attacco potenzialmente espone i dati personali di coloro che hanno sincronizzato il loro smartphone con le loro auto.

Ciò significa che ogni volta che connettiamo il nostro telefono al sistema di intrattenimento del veicolo stiamo lasciando una traccia del nostro operato.

 

Privacy4Cars si è posto il problema, una volta scoperte le falle, di sviluppare un app mobile che consente di cancellare tutti i dati personali dai veicoli.

Secondo l’azienda decine di milioni di veicoli potrebbero essere vulnerabili in tutto il mondo, e secondo gli esperti si tratta di una stima ottimistica perché il numero potrebbe essere molto più elevato.

Lo scenario più rischioso vede i conducenti che sincronizzano i loro telefoni con veicoli che sono stati noleggiati o presi in prestito, e successivamente restituiti.

I loro dati potrebbero essere esposti a malintenzionati che potrebbero utilizzarli per vari scopi. Gli attaccanti possono accedere a contatti memorizzati, registri delle chiamate, registri di testo e, in alcuni casi, a messaggi di testo senza che il dispositivo mobile dell’utente sia connesso al sistema.

Non solo la privacy è al rischio me i dati presenti potrebbero essere utilizzati per una frode

Volete un esempio?

Accedo al sistema dopo che avete consegnato l’auto noleggiata e scopro il vostro tragitto. A quel punto vi contatto e chiedo il pagamento di una multa che è stata elevata per eccesso di velocità in un posto dove siete stati. Ovviamente la multa potrà essere scontata se si procede al pagamento in 24 ore.

“L’attacco può essere eseguito in pochi minuti utilizzando hardware e software economici e facilmente reperibili e non richiede conoscenze tecniche significative”, si legge nel post pubblicato dall’azienda.

“Come risultato dello studio, si ritiene che gli utenti di tutto il mondo che hanno sincronizzato un telefono con un veicolo moderno potrebbero aver avuto violata la loro privacy. Si stima che decine di milioni di veicoli in circolazione siano vulnerabili in tutto il mondo, con un numero che continua a salire di milioni man mano che vengono analizzati più veicoli “.

CarsBlues

 

La tecnica di attacco è stata scoperta dal fondatore di Privacy4Cars, Andrea Amico, nel febbraio 2018, il quale ha immediatamente informato l’Automotive Information Sharing and Analysis Center (Auto-ISAC). L’associazione si pone come obiettivo quello di analizzare e divulgare informazioni inerenti a vulnerabilità nei moderni veicoli.

Amico ha collaborato con Auto-ISAC per capire come gli attaccanti potrebbero rubare dati personali dai veicoli prodotti dai costruttori membri dell’associazione.

La buona notizia per i conducenti è che alcuni produttori hanno già fornito aggiornamenti per rendere i loro ultimi modelli immuni all’attacco CarsBlues.

“Ora che abbiamo completato la nostra divulgazione etica con l’Auto-ISAC, ci stiamo concentrando sull’educazione dell’industria e del pubblico sui rischi associati alla rimozione delle informazioni personali nei sistemi dei veicoli “, ha spiegato Amico.

“L’attacco CarsBlues, data la sua semplicità di replica, l’ampia gamma delle situazioni in cui può essere eseguito contro ignari utenti e la difficoltà nel rilevare l’attacco stesso, è una chiara indicazione che l’industria e i consumatori devono essere proattivi quando si tratta di rimuovere le informazioni personali dai sistemi di infotainment del veicolo.”

Privacy4Cars suggerisce agli utenti di veicoli di eliminare i dati personali dai sistemi di infotainment prima di consentire l’accesso ad altre persone al veicolo.

 

L’azienda invita inoltre le autorità di regolamentazione a sostenere l’adozione di pratiche per proteggere i dati dei consumatori e imporre ai fornitori l’implementazione dei sistemi per aiutare i clienti a eliminare le loro informazioni personali in maniera semplice … probabile che tra qualche mese nelle auto sarà implementata la funzione “cancella dati personali.”

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter