A:"Vuoi dire che la tua auto senza chiave è stata rubata nonostante il tuo allarme?" B:"No, la mia auto è stata rubata a causa del mio allarme." Ha senso? Lo farebbe se leggessi delle scoperte di una società di sicurezza del Regno Unito quando hanno esaminato gli allarmi per auto di terze parti.

In breve, buchi di sicurezza sono stati trovati in allarmi di terze parti che si sono presentati in auto familiari del marchio. Sì, stavano parlando di quegli allarmi che offrono di impedire che le auto vengano dirottate. Hanno la possibilità per una persona di avviare l'auto da un'app per smartphone. Stai pensando quello che stiamo pensando? Applicazione per smartphone? Con un'app di allarme non sicura, i ricercatori sono stati in grado (1) di attivare gli allarmi per auto, (2) sbloccare le portiere dell'auto e (3) avviare il motore.

I ricercatori della sicurezza hanno sfruttato i marchi che potevano lasciare la porta aperta (una battuta adatta) per strappare il controllo. Hanno riscontrato una serie di punti deboli in due prodotti di allarme testati. Questi includevano i risultati che l'auto poteva essere geolocalizzata in tempo reale, il tipo di auto potrebbe essere identificato, potrebbe avviare il motore a distanza e in alcuni casi il motore potrebbe spegnersi.

La ricerca è stata condotta per il programma di tecnologia Click della BBC da Pen Test Partners con sede nel Regno Unito, nel business della scoperta di falle software tramite test di penetrazione e servizi di sicurezza. Hanno sborsato $ 5, 000 per acquistare e montare gli allarmi intelligenti per auto.

Un video su BBC News ha mostrato due hacker in attesa di fare la loro mossa su un'auto scelta e poi intrappolata. La vittima nell'auto nera non aveva idea (come rievocato) di ciò che stava per accadere. L'allarme antipanico è scattato, provocando l'arresto del conducente. Poi, in una piccola auto dietro l'auto della vittima, gli aggressori sono scesi e hanno preso il controllo delle serrature.

"Scendi dalla macchina. Dammi le chiavi."

Il team ha contattato i fornitori coinvolti e ha concesso loro 7 giorni per rimuovere o riparare le API vulnerabili. Fortunatamente, le aziende hanno risposto all'esposizione e hanno aggiornato la sicurezza per rimuovere i difetti.

Un rappresentante del Regno Unito presso una delle aziende ha risposto in circa 48 ore e ha chiesto all'altro ufficio di agire rapidamente. La correzione è avvenuta durante la notte; anche l'altra compagnia aveva una soluzione.

I Pen Test Partners hanno valutato le reazioni dei fornitori, dicendo che "la risposta di entrambi i fornitori è stata in realtà piuttosto buona. Hanno riconosciuto, ha risposto, ha preso provvedimenti immediati e lo ha verificato. Una lezione per tutti i fornitori IoT lì!"

"Poiché più cose sono controllabili in rete, la sicurezza diventa sempre più importante, " disse Hackaday. Per quanto riguarda le risposte dei lettori della BBC, sembra che ci sia un segmento di proprietari di auto che non è impressionato dai passi avanti della tecnologia. Non solo non sono impressionati, ma rimpiangono l'aumento della dipendenza dalla tecnologia che influisce sulle funzioni dell'automobile.

Un commento è stato che "non c'è 'Intelligenza' in nessun software... non è altro che statistica/probabilità. In altre parole è una questione di tempo prima che venga fatta la scelta sbagliata".

Un altro commento diceva che avrebbe voluto poter comprare un'auto "senza tutta l'automazione. Non voglio che il computer accenda i tergicristalli per me, o cambiando l'angolazione dei miei fari quando mi giro, o suonarmi quando cambio corsia. Distrazioni pericolose. Sto guidando; Dovrei avere il controllo della macchina".

Ancora un altro:"Se [sic] è connesso a Internet, è hackerabile, che si tratti di un'auto o di una centrale nucleare. Ho lavorato per un'azienda che si occupa di infrastrutture di trasporto critiche per la sicurezza, e avevamo una regola rigorosa secondo cui le apparecchiature operative non erano mai connesse a Internet, tramite VPN o altre tecniche di sicurezza."

Altri commenti indicano opinioni secondo cui l'attenzione non dovrebbe essere focalizzata sulla natura fragile del software, ma sulla necessità di test e debug approfonditi prima che un prodotto possa essere rilasciato.

Un commento ha esaminato il modo in cui in questo caso le aziende hanno risposto prontamente. I difetti di sicurezza sono un dato di fatto della vita digitale, quindi affrontalo e basta. I punti focali chiave sono "rivelazione delle vulnerabilità e rimedi efficaci" che sono una "misura cruciale della fiducia". Il commento ha aggiunto che si dovrebbe fare di più per rispondere entro 7 giorni rispetto all'aspetto di "aver paura!"

© 2019 Scienza X Rete