Allarme backdoor per l'applicazione automotive MyCar. Un bug permetteva l'accesso da remoto alle auto dei clienti ignari. L'emergenza sembrerebbe rientrata
Allarme backdoor per l'applicazione automotive MyCar. Un bug permetteva l'accesso da remoto alle auto dei clienti ignari. L'emergenza sembrerebbe rientrata
L’auto è più connessa allo smartphone. All’interno dell’applicazione MyCar un gruppo di esperti ha individuato una backdoor. Questa permetteva a degli estranei il controllo del veicolo. MyCar è un’app molto diffusa negli Usa che, anche su auto non nuove, permette di avere le funzionalità di una moderna auto connessa. Il veicolo viene controllato dallo smartphone del proprietario grazie ad una chiave criptata. Gli hacker potevano accedere all’account dell’utente registrato.Una volta risaliti alle credenziali di accesso sbloccare l’auto a distanza sarebbe stato un gioco da ragazzi. L’azienda garantisce di aver risolto la falla e che l’app MyCar è di nuovo sicura.
MINACCIA SERIA
Un gruppo di esperti ha trovato una backdoor all’interno dell’app MyCar. Una vulnerabilità che permetteva agli hacker di gestire un’auto senza averne le chiavi. Era possibile leggere la telemetrica e anche inviare comandi al veicolo senza le credenziali del proprietario. Questo bug, che pare risolto, era molto pericoloso perché, se sfruttato, avrebbe permesso di conoscere tutti i dati di accesso ad un veicolo. Preso il controllo della situazione l’hacker può sbloccare il veicolo, avviare il motore, e persino trovare la posizione attuale del mezzo. Ancora più grave il fatto che, secondo alcune fonti, lo sviluppatore dell’applicazione, AutoMobility Distribution sapeva della vulnerabilità già lo scorso gennaio. Un problema non da poco visto che una versione di MyCar è anche utilizzata da Kia per i suoi clienti in Canada.
LA VULNERABILITÀ
Dallo scorso gennaio l’azienda tech che sviluppato MyCar ha lavorato per risolvere il bug. Va detto che durante questo periodo di vulnerabilità, non c’è stato nessun incidente o problema riguardo la privacy o le funzionalità. Quando gli esperti di cybersecurity hanno dato la notizia del bug il problema era già stato risolto su entrambe le versioni iOS e Android dell’app. Per evitare rischi i vecchi username e password sono stati revocati per impedire accessi indesiderati alle auto. Insomma la falla di MyCar riapre il problema della sicurezza sulle auto connesse che preoccupa molti colossi dell’auto. Gli sviluppatori di MyCar hanno anche lavorato ad altre applicazioni automotive. Anche queste, prima dell’aggiornamento, erano suscettibili di attacchi. Le app a rischio erano: Carlink, Linkr, MyCar Kia e Visions MyCar.
LA SOLUZIONE
I veicoli sono sempre più in rete e molti colossi dell’auto usano servizi connessi come MyCar per inviare aggiornamenti alla loro flotta su strada. L’auto diventa parte dell’Internet of Things ed è esposta a rischi seri. Per i brand automotive è importante individuare falle o problemi di sicurezza prima che ci siano conseguenze per gli utenti. I consumatori chiedono che la sicurezza sia al primo posto anche per quei brand tech che realizzano accessori aftermarket come MyCar. AutoMobility Distribution ha risolto la falla in fretta ma alcuni esperti di sicurezza informatica hanno accusato l’azienda di superficialità. MyCar, infatti, non doveva usare credenziali con crittografia hardcoded nella sua app in quanto universalmente considerate vulnerabili ad attacchi.