I ricercatori hanno trovato gravi vulnerabilità nelle auto e nei veicoli di emergenza, tra cui BMW, Mercedes, Honda, Nissan e altro ancora
I ricercatori di sicurezza hanno scoperto gravi vulnerabilità lo scorso autunno che avrebbero consentito agli hacker di rubare veicoli e dati dei clienti da più produttori. In un nuovo aggiornamento, uno dei ricercatori scrive che le vulnerabilità sono di più ampia portata e possono persino interessare le forze dell'ordine e i veicoli dei servizi di emergenza.
Secondo l’ultimo rapporto del ricercatore Sam Curry, molteplici vulnerabilità avrebbero potuto consentire agli aggressori di rintracciare e controllare da remoto veicoli della polizia, ambulanze e veicoli di consumo di vari produttori.
Il punto debole per le piattaforme dei servizi di emergenza è il sito Web dell’azienda che controlla il GPS e la telematica per oltre 15 milioni di dispositivi, la maggior parte dei quali veicoli –Spireon Systems. I ricercatori hanno descritto il sito Web di Spireon come obsoleto e potrebbero accedervi con un account amministratore con una certa ingegnosità.
Da lì, potevano tracciare e controllare a distanza flotte di veicoli della polizia, ambulanze e veicoli commerciali. Gli aggressori potrebbero sbloccare le auto, avviare i loro motori, disabilitare i loro interruttori di accensione, inviare comandi di navigazione a intere flotte e controllare gli aggiornamenti del firmware per fornire potenzialmente malware.
L’anno scorso, Curry ha affermato che le vulnerabilità dei sistemi remoti di SiriusXM potrebbero consentire agli hacker di rubare veicoli Acura, Honda, Infiniti e Nissan utilizzando solo il numero di identificazione del veicolo di ciascuna auto. Potrebbero anche accedere alle informazioni personali dei clienti. Il nuovo rapporto rivela pericoli simili con i modelli Kia, Hyundai e Genesis.
Inoltre, i sistemi single sign-on configurati in modo errato consentono ai ricercatori di accedere ai sistemi aziendali interni di BMW, Mercedes Benz e Rolls Royce. I difetti non garantivano l’accesso diretto ai veicoli. Tuttavia, gli aggressori avrebbero potuto violare le comunicazioni interne di Mercedes Benz, accedere alle informazioni sui concessionari BMW e dirottare qualsiasi account dei dipendenti BMW o Rolls Royce. Le falle di sicurezza sui siti Web Ferrari consentono inoltre ai ricercatori di accedere ai privilegi amministrativi e di eliminare tutte le informazioni sui clienti.
I ricercatori hanno anche scoperto che la maggior parte, se non tutte, le targhe digitali della California erano vulnerabili agli aggressori. Dopo che lo stato ha legalizzato le targhe digitali l’anno scorso, una società chiamata Reviver le ha gestite forse tutte e nei sistemi interni di Reviver sono emerse falle di sicurezza. I possessori di targhe digitali possono utilizzare Reviver per aggiornare le loro targhe e segnalarle come rubate da remoto. Tuttavia, le vulnerabilità hanno consentito agli aggressori di concedere ai normali account Reviver privilegi elevati che potrebbero tracciare, modificare ed eliminare qualsiasi registrazione nel sistema.
L’ultimo post sul blog di Curry descrive ampiamente la metodologia alla base di questi e altri hack per coloro che sono interessati al nocciolo della questione. Il suo team ha segnalato le vulnerabilità alle società interessate prima della divulgazione. Almeno alcuni di loro hanno confermato l’emissione di patch di sicurezza.