Argomenti
Servizi
Casa > Applicazioni remote per ...
IT
IT DE FR EN

Applicazioni remote per i veicoli: quanto sono sicure?

Le "app remote" per i veicoli sono in voga. Grazie ad esse, è possibile leggere in tempo reale su smartphone e tablet dati completi e cosiddetti informativi sul veicolo, come il chilometraggio, il livello del carburante, gli intervalli di manutenzione, la pressione degli pneumatici, ecc. Tuttavia, tali applicazioni possono essere utilizzate anche per controllare il veicolo. Tra queste, il blocco e lo sblocco del veicolo, la chiusura e l'apertura dei finestrini.

Editoriale - 10 Maggio 2018
Le "app remote" per i veicoli sono in voga. Grazie ad esse, è possibile leggere su smartphone e tablet dati completi e cosiddetti informativi sul veicolo. Tuttavia, tali app possono essere utilizzate anche per controllare il veicolo. © Depositphotos/prykhodov

Se da un lato queste funzioni sono comode, dall'altro possono attirare i criminali. La sicurezza informatica è quindi fondamentale. Il TCS e i suoi club partner hanno quindi sottoposto tre applicazioni remote (BMW, VW, Renault) a un cosiddetto test di penetrazione. Fondamentalmente, le tre app esaminate di BMW, Renault e VW sono sicure e possono essere utilizzate senza grandi problemi. I rischi utilizzabile. Tuttavia, il via libera non può essere dato completamente e di per sé: Tutte e tre le app presentano diverse vulnerabilità che sono da classificare come a medio rischio e, in casi estremi, possono portare all'accesso di terzi all'account utente e al controllo di tutte le funzioni remote. Durante l'indagine sono state riscontrate le seguenti vulnerabilità:

Database non criptato

Renault My Z.E. memorizza dati sensibili in un database non criptato sullo smartphone. In determinate condizioni, ciò consente agli aggressori di leggere dati come il numero di identificazione del veicolo (VIN) e un codice di attivazione, che l'aggressore può utilizzare per registrare il veicolo a se stesso.

Mancanza di certificati di filatura

Inoltre, la connessione tra Renault My Z.E. e VW Car-Net e il relativo cloud può essere intercettata e modificata in determinate circostanze. Ciò è particolarmente facile per un aggressore se alcune funzioni di sicurezza sono disattivate sul dispositivo dell'utente.

Credenziali nell'URL

La BMW Connected App comunica con più endpoint nel cloud. Per garantire che l'utente debba accedere all'app una sola volta, le credenziali vengono prima convertite. Purtroppo, per la trasmissione di queste credenziali convertite è stato scelto un metodo insicuro, per cui un account può essere rilevato da un malintenzionato oppure le informazioni sensibili vengono memorizzate anche nei file di log del provider, che possono essere visualizzati dagli utenti amministrativi.

Politica delle password debole

Inoltre, nell'app BMW Connected è stata implementata una politica di password deboli. La lunghezza della password è limitata a un minimo di otto caratteri e limita anche il numero di caratteri speciali. Questo riduce al minimo la possibile forza della password, rendendo più facile per un aggressore indovinare le password provandole (il cosiddetto bruteforcing). Sono consentite anche password semplici come "abcd1234". Tuttavia, BMW blocca l'account utente dopo alcuni tentativi di accesso non riusciti, fino a quando non viene nuovamente sbloccato tramite un link di posta elettronica.

Mancata conclusione della sessione

Tutti e tre Applicazioni hanno in comune il fatto che la sessione non viene terminata correttamente dopo il logout. Pertanto, un utente non può semplicemente bloccare un attaccante riuscito.

Conclusione

Nel complesso, le tre app sono risultate sicure da usare, ma si sono manifestate alcune vulnerabilità. Ciò dimostra chiaramente che i produttori devono continuare a lavorare sul tema della sicurezza informatica. Con l'aumento della gamma di funzioni dei servizi digitali, aumentano anche i requisiti delle strutture di sicurezza, il che significa che il tema della sicurezza informatica diventerà probabilmente ancora più importante in futuro.

Raccomandazioni

  • Dovrebbe esserci la possibilità di disattivare completamente la trasmissione dei dati nel veicolo.
  • I dati raccolti dal costruttore dovrebbero essere liberamente disponibili per il proprietario del veicolo.
  • Alcune funzioni, come il funzionamento del clacson, devono essere disattivate per motivi di sicurezza durante la guida.
  • Sono necessarie politiche di password più severe.
  • I criteri di sicurezza informatica devono soddisfare gli standard di sicurezza attuali, idealmente con una verifica neutrale (ad es. Common Criteria).

Suggerimenti per il consumatore

  • Non solo tra i produttori, ma anche tra i singoli modelli e le varianti di apparecchiatura, esistono grandi differenze nella gamma di funzioni dei servizi remoti. Come acquirente, è quindi sempre necessario verificare le funzioni effettivamente supportate in ogni singolo caso.
  • Le password devono essere il più possibile sicure, costituite da lettere minuscole e maiuscole, numeri, caratteri speciali e una lunghezza minima di 12 caratteri.

Testo: www.tcs.ch

(Visitato 31 volte, 1 visita oggi)
h2> Altri articoli sull'argomento

9 von 10 tödlichen Unfällen im Zusammenhang mit Alkohol werden von Männern verursacht

Sexuelle Belästigung am Arbeitsplatz: Neue Zahlen zeigen weiteren Handlungsbedarf

Salto Foundation fördert gesellschaftliche Entwicklung und soziale Inklusion

NOTIZIE SULLA SICUREZZA

Bleiben Sie informiert über aktuelle Sicherheitsthemen – praxisnah und zuverlässig. Erhalten Sie exklusive Inhalte direkt in Ihren Posteingang. Verpassen Sie keine Updates.

Jetzt anmelden!
anmelden
È possibile annullare l'iscrizione in qualsiasi momento!
chiudere il link