Le auto “intelligenti” non dimenticano gli ex-proprietari

Feb 23, 2017 Giancarlo Calzetta Hacking, News, RSS, Scenario 1

Le auto in commercio sono sempre più “smart”, ma a quanto pare non sono ancora in grado di capire se sono state vendute a qualcun altro.

La conferma arriva dalle parole di Charles Henderson di IBM che, nel corso della RSA Conference tenutasi a San Francisco la scorsa settimana, ha tenuto un intervento sui rischi legati alla scarsa sicurezza della Internet of Things e, in particolare, della gestione degli account quando un dispositivo “intelligente” passa da un proprietario all’altro.

Il racconto di Henderson parte dal momento in cui ha deciso di cambiare auto, cedendo quella vecchia a un concessionario e acquistandone una nuova.

Entrambi i modelli erano equipaggiati con soluzioni hi-tech, di ogni genere, tra cui un sistema di controllo a distanza tramite app per smartphone.

La RSA Conference è un evento enorme. Nell’ultima edizione ha avuto più di 43.000 visitatori.

Nel momento in cui ha restituito la macchina ed essendo esperto di sicurezza, Henderson ha fatto tutto quello che ci si aspetta di dover fare nel passaggio di proprietà: oltre a restituire le chiavi dell’auto, ha resettato il bluetooth e tolto le autorizzazioni a tutti gli account collegati al veicolo, al sistema di geolocalizzazione e a quello per l’apertura del garage.

Nonostante ciò, una volta a casa, si è accorto che la vecchia auto compariva nell’app del suo smartphone al fianco della nuova vettura.

Lì per lì il ricercatore di IBM non ci ha fatto molto caso, ma quando a distanza di due anni si è accorto che la sua ex-automobile era ancora elencata nell’app, ha deciso di approfondire la questione.

Quello che ha scoperto è che, nonostante fosse stata rivenduta a qualcun altro, aveva ancora accesso a tutte le funzioni disponibili tramite app. Poteva quindi regolare a distanza il climatizzatore, gestire il sistema di intrattenimento ma anche localizzare il veicolo e persino aprirne le porte.

Il problema, come ha verificato in seguito, era che il reset del sistema sul veicolo non era sufficiente a cancellare il suo account. Le informazioni, infatti, erano conservate su un servizio cloud e, senza l’intervento di un operatore autorizzato dal produttore del veicolo, non potevano essere cancellate.

Insomma: nonostante la vendita fosse stata conclusa, le comunicazioni avvenivano ancora direttamente tra lo smartphone e l’automobile perché il sistema di comunicazione non prevede che il link possa essere interrotto in caso di vendita dell’auto se non tramite un intervento diretto della centrale operativa del produttore dell’auto.

Nel frattempo, il nuovo proprietario non aveva alcun indizio sul fatto che qualcun altro avesse accesso alla sua “nuova” auto usata dal momento che l’app mostrava solo le normali funzioni senza alcun allarme a proposito.

Questo inquietante problema, secondo Henderson, non si pone solo per le automobili, ma per qualsiasi dispositivo collegato a Internet che consente un accesso in remoto e per il quale non sono fornite istruzioni chiare su come fare “piazza pulita” delle credenziali di accesso al momento della vendita di qualcun altro.

Condividi l'articolo