Podcast RSI – Auto connesse “hackerabili”, stavolta tocca a Kia. Ma a fin di bene
Questo è il testo della puntata del 4 ottobre 2024 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.
Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, YouTube Music, Spotify e feed RSS.
[CLIP: audio dello sblocco di una Kia parcheggiata]
I rumori che state ascoltando in sottofondo sono quelli di un hacker che si avvicina a un’auto parcheggiata, che non è la sua, ne immette il numero di targa in una speciale app sul suo smartphone, e ne sblocca le portiere.
L’auto è un modello recentissimo, della Kia, e l’hacker può ripetere questa dimostrazione con qualunque esemplare recente di questa marca semplicemente leggendo il numero di targa del veicolo scelto come bersaglio. Non gli serve altro.
Questa è la storia di come si fa a “hackerare” un’automobile oggi, grazie alla tendenza sempre più diffusa di interconnettere i veicoli e consentirne il monitoraggio e il comando remoto via Internet. In questo caso l’“hackeraggio” è opera di un gruppo di informatici che agisce a fin di bene, e questa specifica vulnerabilità è stata risolta, ma conoscere la tecnica adoperata per ottenere questo risultato imbarazzante e preoccupante è utile sia per chi deve proteggere la propria auto da questa nuova frontiera dei furti sia per chi deve pensare alla sicurezza informatica in generale, perché mostra come scovare vulnerabilità inaspettate in qualunque contesto e rivela in modo intrigante come agisce un intruso informatico.
Benvenuti alla puntata del 4 ottobre 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.
[SIGLA di apertura]
Questa storia inizia due anni fa, ad autunno del 2022, quando un gruppo di hacker statunitensi, durante un viaggio per partecipare a una conferenza di sicurezza informatica a Washington, si imbatte per caso in una falla di sicurezza degli onnipresenti monopattini elettrici a noleggio e con relativa facilità riesce a farne suonare in massa i clacson e lampeggiare i fanali semplicemente agendo in modo particolare sulla normale app usata per gestire questi veicoli.
[CLIP: audio dei monopattini]
Incuriositi dal loro successo inaspettatamente facile, i membri del gruppo provano a vedere se la stessa tecnica funziona anche sulle automobili, ed è un bagno di sangue: Kia, Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Hyundai, Genesis, BMW, Rolls-Royce, Ferrari, Ford, Porsche, Toyota, Jaguar, Land Rover risultano tutte attaccabili nello stesso modo. Un aggressore può farne suonare ripetutamente il clacson, avviarle e spegnerle, aprirne e chiuderne le serrature, e tracciarne gli spostamenti, tutto da remoto, senza dover essere fisicamente vicino al veicolo.
Questo gruppo di informatici* è guidato da Sam Curry, che di professione fa appunto l’hacker e il bug bounty hunter, ossia va a caccia di vulnerabilità in ogni sorta di dispositivo, software o prodotto informatico per il quale il costruttore o lo sviluppatore offre una ricompensa monetaria a chi la scopre e la comunica in modo eticamente corretto.
*Il gruppo è composto da Sam Curry, Neiko Rivera, Brett Buerhaus, Maik Robert, Ian Carroll, Justin Rhinehart e Shubham Shah.
In un suo articolo di gennaio 2023 Curry spiega pubblicamente la tecnica usata per prendere il controllo delle auto e per ottenere dati particolarmente preziosi e sensibili come l’elenco di tutti i clienti della Ferrari.
In sostanza, invece di tentare di attaccare frontalmente il singolo veicolo, gli informatici prendono di mira il sistema centrale di gestione remota, il portale Web attraverso il quale i dipendenti e i concessionari delle singole case automobilistiche amministrano i veicoli. Nel caso di BMW e Rolls Royce, per esempio, si accorgono che è sufficiente una singola riga di comandi inviata via Internet per ottenere un codice di recupero che consente di prendere il controllo di un account amministrativo e da lì acquisire i dati personali dei clienti e comandare le loro automobili.
A questo punto gli hacker contattano le case costruttrici e le informano dei loro problemi, che vengono risolti, chiudendo queste falle. In totale, i veicoli a rischio sono circa 15 milioni, includono anche i mezzi di soccorso, e le scoperte del gruppo di informatici vengono anche segnalate al Congresso degli Stati Uniti.
Un imbarazzo collettivo del genere dovrebbe essere un campanello d’allarme per queste industrie, che dovrebbero in teoria avviare un ampio riesame interno delle proprie procedure per individuare altre eventuali falle prima che vengano scoperte, non da informatici di buon cuore come in questo caso, ma da criminali, ai quali potrebbe interessare moltissimo ricattarle, minacciando per esempio di rivelare i nomi e i dati personali dei loro clienti di alto profilo oppure paralizzando la loro rete di gestione delle auto. Ma la realtà racconta una storia molto differente.
Passano due anni, e Sam Curry e il suo gruppo* rivisitano i servizi online delle case automobilistiche per vedere come stanno le cose dopo la raffica di falle scoperte e risolte.
*Specificamente Curry insieme a Neiko Rivera, Justin Rhinehart e Ian Carroll.
L’11 giugno 2024 scoprono delle nuove vulnerabilità nei veicoli Kia che permettono di prendere il controllo delle funzioni di gestione remota semplicemente partendo dal numero di targa. L’attacco richiede mezzo minuto, funziona su tutti i modelli Kia dotati di connettività, e soprattutto funziona anche se il proprietario del veicolo non ha un abbonamento ai servizi di controllo remoto, che Kia chiama Kia Connect.
Gli hacker trovano inoltre che è possibile procurarsi informazioni personali del proprietario dell’auto, compreso il suo nome, il suo numero di telefono, il suo indirizzo di mail e il suo indirizzo di casa, diventando così, come spiega Curry, “un secondo utente invisibile del veicolo della vittima senza che quella vittima ne sappia nulla”.
Così Sam Curry e i suoi colleghi costruiscono un’app dimostrativa, grazie alla quale possono semplicemente immettere il numero di targa di un veicolo Kia e nient’altro e trovarsi, nel giro di una trentina di secondi, in grado di comandare da remoto quel veicolo.
Prima che i proprietari di Kia all’ascolto si facciano prendere dal panico, sottolineo e ripeto che il problema è già stato risolto: anche questa vulnerabilità è stata corretta, l’app di attacco non è mai stata rilasciata al pubblico, e Kia ha verificato che la falla che sto per descrivere non è mai stata usata in modo ostile.
La tecnica usata a fin di bene dagli hacker è diversa da quella adoperata in passato: mentre prima avevano agito al livello del singolo veicolo, ora hanno provato a un livello più alto. Scrive Curry: “e se ci fosse un modo per farsi registrare come concessionario, generare un codice di accesso, e poi usarlo?”. E infatti c’è.
Curry e i suoi colleghi mandano una semplice riga di comandi accuratamente confezionati a kiaconnect.kdealer.com, dando il proprio nome, cognome, indirizzo di mail e specificando una password, e vengono accettati senza battere ciglio. Per il sistema informatico di Kia, loro sono a questo punto un concessionario come tanti altri.
Questo permette a loro di immettere un VIN, ossia il numero identificativo unico di un veicolo, e ottenere in risposta i dati personali del proprietario di quel veicolo, compreso il suo indirizzo di mail, che è la chiave per l’eventuale attivazione dei servizi di comando remoto.
Avendo questo indirizzo e potendosi presentare al sistema informatico di Kia come concessionario, possono dire al sistema di aggiungere il loro indirizzo di mail a quelli abilitati a mandare comandi remoti all’auto, e a questo punto diventano pienamente padroni di telecomandare il veicolo del malcapitato utente.
Resta solo da scoprire il VIN del veicolo scelto come bersaglio, ma questo è relativamente facile. Molti veicoli riportano questo identificativo in maniera ben visibile, per esempio su una targhetta dietro il parabrezza, ma anche se il VIN non è in bella mostra e non c’è modo di avvicinarsi al veicolo per leggerlo è possibile iscriversi a uno dei tanti servizi che forniscono il VIN di un veicolo partendo dal suo numero di targa.
Visto che hanno trovato questo ultimo tassello del mosaico, Sam Curry e colleghi sono pronti per dimostrare il loro attacco. Avvisano immediatamente Kia, che risponde tre giorni dopo, e creano un’app che esegue automaticamente l’intero processo di intrusione: parte appunto dal numero di targa dell’auto presa di mira, che per ovvie ragioni è ben visibile, e poi interroga un servizio commerciale per ottenere il VIN corrispondente a quella targa.
Poi l’app si annuncia al sito di Kia come se fosse un concessionario, e si procura così l’indirizzo di mail associato al veicolo, aggiunge l’indirizzo di mail degli hacker a quello dell’utente legittimo, e infine promuove quell’indirizzo a utente principale.
A quel punto gli hacker, per restare nei limiti della dimostrazione non pericolosa e legale, noleggiano una Kia e registrano un video nel quale si vede che l’auto inizialmente chiusa a chiave diventa apribile, telecomandabile e localizzabile semplicemente immettendo nella loro app il suo numero di targa. Il 20 giugno mandano a Kia lo screenshot della loro app dimostrativa.
Passano varie settimane, e finalmente il 14 agosto Kia risponde dicendo che la vulnerabilità è stata corretta e che sta verificando che la correzione funzioni. Gli hacker, da parte loro, verificano che effettivamente la falla è stata turata e il 26 settembre scorso, pochi giorni fa, insomma, annunciano la loro scoperta pubblicandone i dettagli tecnici presso Samcurry.net.
Tutto è bene quel che finisce bene, si potrebbe pensare. La casa costruttrice ha preso sul serio la segnalazione di allarme degli hacker benevoli, cosa che non sempre succede, ha agito e ha risolto il problema. Ma tutto questo è stato possibile perché anche stavolta la falla, piuttosto grossolana, è stata scoperta da informatici ben intenzionati che hanno condiviso con l’azienda quello che avevano trovato. La prossima volta potrebbe non andare così bene e una nuova falla potrebbe finire nelle mani del crimine informatico organizzato.
Questa scoperta di una nuova grave vulnerabilità nella sicurezza delle automobili connesse, così di moda oggi, mette in evidenza i rischi e i vantaggi della crescente digitalizzazione nel settore automobilistico, che non sembra essere accompagnata da una corrispondente crescita dell’attenzione alla sicurezza informatica da parte dei costruttori. E noi consumatori, in questo caso, non possiamo fare praticamente nulla per rimediare.
Certo, questi veicoli connessi offrono grandi vantaggi in termini di comodità, con funzioni avanzate come il monitoraggio remoto, gli aggiornamenti del software senza recarsi in officina e i servizi di navigazione migliorati. Ma il loro collegamento a Internet, se non è protetto bene, li rende vulnerabili a possibili attacchi informatici, diventa un pericolo per la sicurezza del conducente e dei passeggeri, per esempio attraverso accessi non autorizzati ai sistemi critici del veicolo come i freni o l’acceleratore, e mette a rischio la privacy dei dati personali. Se è così facile accreditarsi come concessionari in un sistema informatico di un costruttore di auto, come abbiamo visto grazie a Sam Curry e ai suoi colleghi, vuol dire che la lezione di sicurezza non è stata ancora imparata a sufficienza.
Il caso di Kia, insomma, è un esempio da manuale di come agisce un aggressore informatico, e può essere esteso a qualunque attività che dipenda da Internet e dai computer. L’aspirante intruso è fantasioso e non attacca frontalmente ma cerca qualunque varco secondario lasciato aperto e lo usa come cuneo per penetrare gradualmente nei sistemi, andando sempre più in profondità. È quasi sempre molto più motivato e ossessivo di un difensore, che ha il problema di essere spesso poco apprezzato dal datore di lavoro, perché il suo lavoro è invisibile per definizione: quando opera bene non succede nulla e non ci si accorge di nulla.
Provate a guardare la vostra attività e chiedetevi se avete per caso blindato tanto bene la vostra porta principale ma avete dimenticato che per esempio l’ingresso dedicato ai fornitori è protetto “per comodità” da un PIN di accesso, che tutti quei fornitori puntualmente si annotano su un foglietto di carta appiccicato in bella vista sul cruscotto del loro furgone. Far esaminare le proprie difese dagli occhi di una persona esperta esterna può essere molto illuminante e può salvare da figuracce e disastri.
Fonte aggiuntiva
Flaw in Kia’s web portal let researchers track, hack cars (Ars Technica)