Aggiornamenti recenti Gennaio 31st, 2025 12:27 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Trovata una backdoor in due dispositivi cinesi per il monitoraggio dei pazienti
- Vulnerabilità Subaru: il vero problema sono le politiche di gestione dei dati
- Privacy dei dati: la maggior parte degli utenti teme una violazione
- L’IA generativa unifica le interfacce di gestione e migliora la cybersecurity
- PlushDaemon: un nuovo gruppo APT cinese colpisce la Corea del Sud. Il report di ESET
Vulnerabilità Subaru: il vero problema sono le politiche di gestione dei dati
Una ricerca condotta da Sam Curry e Shubham Shah, esperti di sicurezza, ha portato alla luce significative vulnerabilità nei sistemi web di Subaru che permettevano agli eventuali attaccanti di avere un certo controllo sull’auto e, altrettanto proccupante, sulla privacy del proprietario. L’indagine ha avuto origine dall’analisi di una Subaru Impreza del 2023, acquistata dalla madre di Curry, con lo scopo di testarne le funzionalità connesse. Attraverso un’attenta analisi, i ricercatori hanno identificato delle falle nel portale web di Subaru, destinato ai dipendenti, che hanno permesso loro di ottenere il controllo di alcune funzionalità dell’auto, come l’apertura delle portiere, l’attivazione del clacson e l’avviamento del motore.
Accesso non autorizzato e controllo remoto di alcune funzioni, ma anche grossi problemi di privacy
Le vulnerabilità individuate non si limitavano al semplice controllo delle funzioni dell’auto. Curry e Shah sono riusciti a manipolare il sistema in modo tale da poter riassegnare il controllo di queste funzionalità a qualsiasi dispositivo, come un telefono o un computer. Questo significa che un attaccante, sfruttando la stessa vulnerabilità, avrebbe potuto assumere il controllo remoto di un veicolo Subaru, rappresentando un serio rischio per la sicurezza del proprietario.
Ancora più allarmante è stata la scoperta che attraverso il portale web di Subaru, i ricercatori potevano accedere a una mappa dettagliata e accurata degli spostamenti del veicolo, risalente a un anno. Questa mappa non solo mostrava la posizione attuale dell’auto, ma anche la sua posizione passata, consentendo di ricostruire gli spostamenti quotidiani del proprietario. Il livello di dettaglio era tale da rendere possibile l’identificazione di luoghi frequentati, come studi medici, case di amici, e persino il posto auto abitualmente utilizzato. Questo aspetto solleva interrogativi etici e legali sull’uso e la conservazione dei dati sulla posizione dei clienti.
Il meccanismo di attacco era imbarazzante
L’attacco è stato reso possibile grazie a una combinazione di vulnerabilità nella gestione delle password e dei dati utente del portale dipendenti. I ricercatori hanno scoperto di poter reimpostare le password degli account dipendenti semplicemente indovinando il loro indirizzo email, aggirando il sistema di sicurezza realtivo al reset della password che, invece di essere gestito lato server, era gestito localmente sul browser. Hanno ottenuto l’indirizzo e-mail di un dipendente di Subaru su LinkedIn e così hanno potuto assumere il controllo del suo account. Una volta all’interno, hanno sfruttato l’accesso per cercare qualsiasi proprietario di Subaru per cognome, codice postale, email, numero di telefono o targa. Da lì, hanno potuto accedere e riassegnare le funzioni Starlink del veicolo, incluse le funzionalità di sblocco e avviamento e tracciamento della posizione. Come sia possibile nel 2025 pensare che il reset della password venga gestito in locale invece che sul server aziendale è veramente un mistero in quanto è un errore di progettazione triviale.
Implicazioni per la Privacy e la Sicurezza
Ma quello che stupisce più di tutto è il problema della gestione dei dati. Cosa se ne fa Subaru dello storico preciso al metro degli spostamenti dell’utente? Possiamo capire la necessità di avere la posizione geografica in caso di richiesta di aiuto, ma quest’uso non implica in nessun modo il conservare il dato per un anno. Possiamo anche capire la necessità di analizzare i dati d’uso dell’auto per migliorare l’affidabilità meccanica, ma anche in questo caso non serve conservarli “interi”: li si può anonimizzare facilmente senza perderne la validità. In definitiva, dopo anni passati a ignorare il potenziale dei dati, adesso molte aziende sembrano determinate a raccoglierne la maggior quantità possibile, senza però pensare davvero alla loro gestione in sicurezza. I dati sono una componente essenziale dei processi moderni, ma vanno gestiti in maniera da rispettare la privacy degli utenti e, soprattutto, pensando a come proteggerli in caso di violazione.
Le Risposte di Subaru
Subaru ha rilasciato una dichiarazione in cui ha affermato di aver corretto immediatamente le vulnerabilità segnalate dai ricercatori e ha negato che le informazioni dei clienti siano state consultate senza autorizzazione. La compagnia ha ammesso che i suoi dipendenti hanno accesso ai dati sulla posizione, ma solo per le finalità necessarie, come la notifica ai soccorritori in caso di incidente. La compagnia ha anche affermato che tali dipendenti ricevono una formazione appropriata e firmano accordi di riservatezza. Tuttavia, non è chiaro quanto a lungo Subaru conservi i dati di localizzazione dei suoi clienti e quali siano le policy di accesso e conservazione di tali dati.
Condividi l'articolo
- auto, Automobili, Car Hacking, Car Security, IT Security, Starlink, subaru, vulnerability, Web vulnerability
Trovata una backdoor in due dispositivi cinesi per il monitoraggio dei pazienti
Privacy dei dati: la maggior parte degli utenti teme una violazione
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Privacy dei dati: la maggior parte degli utenti teme una... Quando si parla di dati e di privacy, gli utenti si dicono... -
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
L’IA generativa rivoluziona il cybercrimine e rende... Gli ultimi giorni dell’anno sono da sempre... -
Gli Stati Uniti cambiano opinione sulla crittografia e... Se finora l’FBI e il governo degli Stati Uniti ha... -
Normative di cybersecurity: non uno spauracchio, ma... Oggi le aziende italiane non solo devono affrontare nuove e...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa...
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Trovata una backdoor in due dispositivi cinesi per il... Pochi giorni fa la CISA ha pubblicato un avviso di... -
Vulnerabilità Subaru: il vero problema sono le politiche... Una ricerca condotta da Sam Curry e Shubham Shah, -
Privacy dei dati: la maggior parte degli utenti teme una... Quando si parla di dati e di privacy, gli utenti...
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa...
-
PlushDaemon: un nuovo gruppo APT cinese colpisce la Corea... I ricercatori di ESET hanno scoperto PlushDaemon, un nuovo...
Ransomware: la serie
No posts found.
