Le auto elettriche sono iperconnesse e ricche di interfacce di gestione hi-tech che spesso rivelano pericolose vulnerabilità per gli automobilisti.
Le application programming interface (API) sono strumenti essenziali nelle auto elettriche. Nei giorni scorsi si è però capito che molte API sono vulnerabili ad attacchi hacker.
Il problema riguarda molte case automobilistiche. Sono a rischio dati personali e quindi contenuti delicati relativi alla privacy dei possessori di auto. Ma qual è la pericolosa vulnerabilità che minaccia gli automobilisti di auto elettriche?
Le vulnerabilità delle API appena isolate consentirebbero a un qualsiasi hacker di portare a termine varie attività dannose. Per esempio? Sbloccare e avviare un’auto elettrica per rubarla o per creare disagi all’automobilista. Tracciare i percorsi delle vetture. Carpire informazioni personali dei piloti. E sono quasi venti le case automobilistiche coinvolte.
I nomi sono famosissimi. C’è la Ferrari, la BMW, la Rolls Royce… E ancora: Mercedes-Benz, Porsche, Jaguar, Land Rover, Ford, KIA, Honda, Infiniti, Nissan, Acura, Hyundai, Toyota e Genesis. Tutti questi marchi sono stati colpiti da problemi di sicurezza connessi alla vulnerabilità delle API utilizzate per i loro servizi.
Pericoli per i possessori di queste auto elettriche
Alcuni ricercatori, guidati dal professor Sam Curry, hanno scoperto gravi falle di sicurezza nelle API delle auto elettriche prodotte da vari marchi. Le vulnerabilità sono simili ed espongono i possessori di auto elettriche a enormi pericoli, e non solo per la privacy.
Le case automobilistiche sono già corse ai ripari. Dunque gli hacker non possono più sfruttare le falle nelle API. Tuttavia potrebbero esserci altri bug o altre vulnerabilità non ancora riconosciute.
Per la Kia, la Honda, la Acura, la Infiniti e la Nissan gli hacker hanno potuto senza impedimenti bloccare o sbloccare le auto a distanza utilizzando semplicemente il numero di identificazione del veicolo (VIN). Potevano anche individuare la loro posizione, far lampeggiare i fari e suonare i clacson. In più potevano spiare negli account e rubare dati personali. Per esempio nome, numero di telefono, indirizzo e-mail…
Con le elettriche della Mercedes-Benz gli hacker potevano avere accesso a centinaia di app interne tramite una configurazione SSO (Single Sign-On). Le Hyundai e le Genesis rivelavano vulnerabilità nella gestione dell’intero veicolo, per la posizione e il controllo dell’accensione.
Per Rolls Royce e BMW le vulnerabilità SSO hanno permesso di ottenere la documentazione di vendita per in base al numero VIN.
LEGGI ANCHE: Auto e moto elettriche, ritorno dell’ecobonus: dettagli e requisiti
Con la Ferrari sarebbe stata possibile l’acquisizione di qualsiasi account cliente.