Sam Curry è un ricercatore di sicurezza informatica che insieme ai suoi colleghi di Yuga Lab si è specializzato nella ricerca di difetti nelle auto connesse. Ha scoperto che un bug nell’applicazione mobile di Hyundai consentiva agli hacker di rubare auto ed identità del proprietario. Tutto ciò di cui hanno bisogno è il vostro indirizzo e-mail. Spiega: “Aggiungendo un carattere di controllo, ritorno a capo o avanzamento riga, alla fine dell’indirizzo e-mail di un account esistente, siamo stati in grado di creare un account che ha aggirato i sistemi di verifica.”
All’inizio di quest’anno, Curry e i suoi colleghi hanno anche scoperto una falla di sicurezza che potrebbe colpire auto di diverse case automobilistiche. Si sono resi conto che la maggior parte dei veicoli aveva in comune il fornitore di servizi telematici SiriusXM Connected Vehicles. Questa società è in grado di sbloccare o bloccare l’auto a distanza. Per farlo, hanno bisogno del vostro indirizzo e-mail o del codice VIN del veicolo. La tecnologia di questa azienda è molto popolare. L’elenco dei clienti è lungo e comprende Fiat, Land Rover, Lexus, Hyundai, Honda e persino BMW e Jaguar.
Per sbloccare un’auto e prenderne il controllo, agli hacker bastava il codice VIN del veicolo. Sam Curry afferma: “Si potrebbero eseguire comandi sull’auto e raccogliere informazioni sul conto dei clienti semplicemente con un codice VIN, che si trova sul parabrezza.”
Il sistema di verifica di Sirius XM lasciava che i dettagli e gli identificatori dei clienti venissero visualizzati nelle intestazioni delle richieste al server. Secondo Curry, una volta che le aziende sono a conoscenza di queste falle, sono pronte a distribuire una patch. Grazie a questo, i criminali informatici non hanno avuto il tempo di sfruttarle.
Le auto sono sempre più connesse ma la crescente dipendenza da computer e tecnologie wireless rende tutti purtroppo sempre più vulnerabili a frodi e furti.
Aggiornamento del 3 dicembre
In seguito alla nostra pubblicazione Hyundai ha inviato una dichiarazione ufficiale in merito alla vulnerabilità segnalata che riportiamo:
“Hyundai ha lavorato diligentemente con consulenti di terze parti per indagare sulla presunta vulnerabilità non appena i ricercatori l’hanno portata alla nostra attenzione. È importante sottolineare che, a parte i veicoli Hyundai e gli account appartenenti ai ricercatori stessi, la nostra indagine ha indicato che nessun veicolo o account dei clienti, né per Hyundai né per Genesis, è stato accessibile da altri a causa dei problemi sollevati dai ricercatori.
Notiamo inoltre che per sfruttare la presunta vulnerabilità, era necessario conoscere l’indirizzo e-mail associato all’account e al veicolo Hyundai/Genesis specifici, nonché lo script Web specifico utilizzato dai ricercatori. Tuttavia, Hyundai e Genesis hanno implementato contromisure entro pochi giorni dalla notifica per migliorare ulteriormente la sicurezza e la protezione dei nostri sistemi. Separatamente, Hyundai e Genesis non sono state interessate da un difetto di autorizzazione di Sirius XM che è stato recentemente rivelato.
Apprezziamo la nostra collaborazione con i ricercatori di sicurezza e apprezziamo l’assistenza di questo team.“
