Delle falle di sicurezza sono da poco state scoperte nelle auto di lusso prodotte da Ferrari, Mercedes e altri marchi importanti. Queste avrebbero potuto consentire ai malintenzionati di rubare l'identità e altre info personali dei proprietari, nonché tracciare i loro veicoli e, in alcuni casi, persino aprire le porte e avviare il motore.
Tra i marchi interessati, oltre Mercedes e Ferrari, figurano BMW, Rolls-Royce, Porsche, Jaguar, Land Rover, Ford, KIA, Honda, Infiniti, Nissan, Acura, Hyundai, Toyota e Genesis. La falla ha riguardato anche alcuni fornitori, come Spireon e Reviver, compresa SiriusXM, che garantisce i servizi streaming su alcune vetture.
Accesso e controllo ai veicoli, cosa avrebbero permesso di fare le vulnerabilità scoperte
Le falle sono state scoperte dal ricercatore Sam Curry, una figura con molta esperienza in materia di sicurezza informatica. All'inizio di dicembre 2022, l'esperto ha scoperto una falla nei servizi forniti da SiriusXM, che consentiva l'accesso non autorizzato ai veicoli.
Le vulnerabilità variavano tuttavia in base alla casa produttrice: BMW e Mercedes-Benz avevano, ad esempio, un difetto alla funzione Single-Sign-On (SSO) che consentiva l'accesso fraudolento ai sistemi interni, permettendo l'inserimento in istanze di vari social, chat private, server, istanze AWS e altro ancora.
Nel caso di BMW, la falla avrebbe consentito di accedere ai portali interni dei concessionari, ai numeri di telaio delle auto e ai documenti di vendita, con i relativi dati dei proprietari.
Tra le case automobilistiche più colpite c'è la Ferrari: nei veicoli prodotti dal Cavallino Rampante, la vulnerabilità SSO avrebbe consentito ai malintenzionati di accedere, modificare o cancellare qualsiasi account utente relativo ai servizi forniti dall'azienda, modificando persino il proprietario dell'auto. Per quanto riguarda i mezzi della Porsche, sarebbe invece stato possibile individuare l'esatta posizione, nonché inviare comandi vocali ai veicoli.
Il fornitore di servizi GPS per veicoli, Speiron, utilizzato in oltre 15 milioni di veicoli, presentava anch'esso una falla che avrebbe consentito di sbloccare le portiere, avviare il motore o disattivare anche il motorino di avviamento.
Le suddette vulnerabilità sono tuttavia già state corrette da tutti i produttori. I ricercatori suggeriscono inoltre ai proprietari di memorizzare il minor numero possibile di informazioni personali nei loro veicoli e nelle app, al fine di proteggersi da possibili future falle.
Fonte: BleepingComputer
