2 milioni di clienti Progressive Snapshot potrebbero essere a rischio per l’hacking di auto

Solo due mesi fa i ricercatori israeliani di cyber-sicurezza hanno hackerato un dispositivo che si collega alla porta diagnostica di un’auto e hanno determinato di poter controllare a distanza il veicolo da qualsiasi parte del mondo. A quel tempo, l’attacco simulato sembrava la versione automobilistica di un canarino in una miniera di carbone. Se i ricercatori potessero violare questo dispositivo, forse anche altri prodotti aftermarket che si collegano alle porte diagnostiche erano vulnerabili?
In breve tempo, un’altra società di sicurezza informatica ora riferisce di aver trovato gravi difetti in un dispositivo utilizzato da oltre 2 milioni di automobilisti.
I ricercatori della Florida-based Digital Bond Labs dicono di aver scoperto grossi problemi in un dispositivo che Progressive Insurance utilizza per misurare le abitudini di guida dei clienti partecipanti. Con il reverse engineering del dongle, hanno ottenuto l’accesso a una rete che consente il controllo delle funzioni critiche del veicolo, come gli ingressi di sterzo, frenata e acceleratore.

“Quello che abbiamo trovato con questo dispositivo è che è stato progettato senza funzionalità di sicurezza”, dice Dale Peterson, fondatore e CEO di Digital Bond Labs, ad Autoblog. “Non era nemmeno basato su pratiche di codifica di sicurezza di base. … È una casa che non ha porte, finestre e recinzioni, con oggetti di valore all’interno.”
Peterson ha sottolineato che questo non era un caso di ricercatori che sfruttavano una debolezza nella sicurezza del dongle; era semplicemente che non esisteva alcuna sicurezza.
Dispositivo Registra i dati del driver
Progressive utilizza questi dispositivi come parte del suo programma di assicurazione basato sull’utilizzo Snapshot, che è in circolazione dal 2008. Il dongle, che si inserisce nella porta diagnostica OBD-II, raccoglie dati su quante miglia sono guidate, a che ora del giorno un veicolo è in funzione e quanto sia difficile un conducente freni. In cambio di questi dati del conducente, i conducenti prudenti possono ricevere sconti fino al 30% sui loro premi.
Un portavoce della società ha detto Progressive non aveva ancora visto la ricerca e sta esaminando le accuse.
“Siamo fiduciosi nelle prestazioni del nostro dispositivo Snapshot”, ha detto un portavoce progressista in una dichiarazione scritta. “Per essere chiari, il ricercatore non è stato in grado di controllare alcuna funzione del veicolo e non abbiamo prove che qualcun altro sia stato in grado di farlo. Tuttavia, prendiamo molto sul serio la sicurezza e intendiamo indagare a fondo sulla questione.”
Crescenti preoccupazioni informatiche nel settore automobilistico
Le minacce informatiche sono diventate una preoccupazione a livello di settore tra le case automobilistiche. Gli analisti del settore vedono sempre più gli attacchi a questi dispositivi di terze parti come problemi più nefasti rispetto alle auto stesse perché essenzialmente consentono agli hacker di aggirare qualsiasi sicurezza una casa automobilistica abbia messo in atto.
Come riportato per la prima volta da Dark Reading, il ricercatore di Digital Bond Labs Corey Thuen ha scoperto che una volta che il dongle progressivo è collegato alla rete locale del veicolo, non si autentica alla rete cellulare su cui comunica le informazioni a Progressive, né crittografa i suoi messaggi. Dice anche: “il firmware non è firmato o convalidato e non esiste una funzione di avvio sicuro. Inoltre, il dispositivo utilizza il protocollo FTP notoriamente non sicuro.”
Il dongle Snapshot consente l’accesso alla stessa rete che ospita le unità di controllo elettroniche, che controllano decine di funzioni del veicolo, dalle distribuzioni degli airbag al motore. Una volta all’interno di questa rete, un hacker potrebbe inviare codici maligni a queste centraline che sovrascrivono gli ingressi di un conducente e controllano un veicolo.
“Se qualcuno ha hackerato il Progressive cloud, potrebbe andare a tutte le auto che hanno questo”, ha detto Peterson. “Potrebbero inviare cose a questi dongle e potenzialmente fare cose davvero brutte.”
A novembre, i ricercatori Argus Cyber Security con sede in Israele hanno pubblicato informazioni su un hack di uno di questi dispositivi di terze parti. Hanno affermato di sfruttare una vulnerabilità nello Zubie, un dongle che fornisce ai conducenti informazioni di viaggio, prestazioni dell’auto e comportamento del conducente.
Una volta all’interno, i ricercatori Argus hanno sbloccato le porte e manipolato le letture del cluster degli strumenti. Dicono che avrebbero potuto anche controllare il motore del veicolo, freni e componenti dello sterzo da una posizione remota.
“Nell’Internet delle cose, questo è solo un altro esempio di ciò che accade quando si aggiunge la capacità di comunicazione a cose che in genere non li hanno”, ha detto Peterson. “La preoccupazione è quando vengono aggiunti senza controlli di sicurezza.”

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.