API vulnerabili molte case automobilistiche sono a rischio

Scovate alcune API vulnerabili che consentirebbero ad un hacker di eseguire attività dannose, come sbloccare, avviare e tracciare le auto, nonché esporre le informazioni personali dei clienti. Quasi venti le case automobilistiche coinvolte.

Noti produttori come BMW, Roll Royce, Mercedes-Benz, Ferrari, Porsche, Jaguar, Land Rover, Ford, KIA, Honda, Infiniti, Nissan, Acura, Hyundai, Toyota e Genesis sono stati tutti colpiti da problemi di sicurezza legati ad API utilizzate per i loro servizi.

Dati compromessi per le API vulnerabili

I ricercatori, guidati da Sam Curry, hanno scoperto diverse falle di sicurezza che riportiamo per tipologia e gruppi di marchi sulla base delle informazioni pubblicate su un tweet dallo stesso Curry.

I fornitori, opportunamente informati, hanno risolto tutti i problemi segnalati in questo rapporto, quindi ora non possono essere sfruttati, almeno per ora.

…Continua su DMove.it


Se vuoi saperne di più…

Abbiamo già affrontato in altri casi le vulnerabilità che mettono a rischio le auto di nuova generazione. Sono diversi i settori dove possono colpire, c’è il blocco e lo sblocco dell’auto da remoto, oppure l’accensione del motore. Il tema dei dati personali esposti è parallelo a tutto ciò e legato alle App utilizzate alle registrazioni fatte dall’utente su vari portali. L’ultimo elemento riguarda la posizione GPS delle auto che potrebbe essere uno dei dati esposti ad attacchi mirati.

Vediamo ora un ulteriore elemento di attenzione riguarda la possibilità dimostrata di attaccare il sistema di ricarica delle auto elettriche, avevamo affrontato questo problema in un articolo dedicato qui.

Questo tipo di attacco è chiamato Brokenwire, e prevede l’invio wireless di segnali di interferenza elettromagnetica verso un veicolo in ricarica preso di mira. Lo scopo è interrompere la sessione di ricarica stessa. Questo tipo di attacco prende di mira il Combined Charging System (CCS). Una tecnologia di ricarica rapida CC (in corrente continua DC in inglese) ampiamente utilizzata, e interrompe la comunicazione tra il caricabatterie e il veicolo.


My Agile Privacy
Questo sito utilizza cookie tecnici e di profilazione. Cliccando su accetta si autorizzano tutti i cookie di profilazione. Cliccando su rifiuta o la X si rifiutano tutti i cookie di profilazione. Cliccando su personalizza è possibile selezionare quali cookie di profilazione attivare. Inoltre, questo sito installa Google Analytics nella versione 4 (GA4) con trasmissione di dati anonimi tramite proxy. Prestando il consenso, l'invio dei dati sarà effettuato in maniera anonima, tutelando così la tua privacy.
Attenzione: alcune funzionalità di questa pagina potrebbero essere bloccate a seguito delle tue scelte privacy