mercoledì 30 novembre 2016

Per rubare una Tesla basta un malware sul telefono

La Stampa
lorenzo longhitano

L’attacco sfrutta delle vulnerabilità di Android, ma Tesla può rafforzare le difese della propria infrastruttura per rendere le cose più difficili a eventuali malintenzionati



Bastano un malware ben scritto e un po’ di astuzia per portarsi a casa la Tesla nuova di zecca di qualcun altro. È l’allarme lanciato dai ricercatori norvegesi del gruppo Promon, che in una clip su Youtube hanno dimostrato di poter prendere il controllo di uno dei veicoli elettrici prodotti dalla casa di Elon Musk semplicemente facendo installare al proprietario sul proprio smartphone un software in grado di rubare le credenziali di accesso all’app Tesla. L’app della società statunitense infatti è un passepartout per tutte le funzioni collegate all’auto: ottenervi l’accesso equivale non solo a rubare le chiavi del veicolo, ma anche a poterlo rintracciare su una mappa tramite il GPS per sottrarlo al proprietario nel momento più opportuno.

I metodi utilizzati per l’attacco, spiegano i ricercatori, non sono neanche troppo raffinati. Nel video ad esempio l’hacker mette in piedi un finto hotspot Wi-Fi gratuito per convincere con l’inganno la vittima a installare dal Play Store di Google un’app malevola. È quest’ultima che fa il lavoro sporco: sfruttando alcuni bug interni al sistema operativo Android prende il controllo di alcune funzioni chiave del telefono, rubando il nome utente e la password necessari ad autenticarsi con l’auto e l’infrastruttura cloud del produttore.

Le tecniche e le app che è possibile utilizzare per arrivare a questo risultato sono diverse, ma sfruttano tutte una serie di vulnerabilità già conosciute interne al sistema operativo Google. Secondo quanto dichiarato da Promon, solo gli smartphone con la versione Nougat di Android possono dichiararsi al sicuro da attacchi in grado di compromettere l’integrità degli smartphone in questo modo, ma la percentuale di telefoni Google così aggiornati è ad oggi dello 0,3%.

Dal momento che i produttori di smartphone Android spesso non forniscono velocemente gli aggiornamenti per i propri dispositivi (o non li forniscono affatto), raccomandare ai proprietari di aggiornare il loro telefono non è sufficiente a risolvere il problema. Quel che possono fare questi ultimi, piuttosto, è fare più attenzione del normale a dove lasciano il telefono e a quali app installano; quel che può fare Tesla, spiegano i ricercatori, è aggiungere un livello di sicurezza in più alla propria piattaforma, ad esempio introducendo un sistema di autenticazione in due fattori.