Siamo sicuri di volere l'auto ultraconnessa? Hacking a Jeep Cherokee

[ricky1750]

A me preoccupa che dato le macchine moderne hanno tutte chiave elettronica e relativo bloccasterzo elettronico, riuscire a far inserire il bloccasterzo in marcia è potenziale causa di disastro.

Ok, ma e' un pelo diverso... almeno devi essere a portata utile... con un mezzo connesso puoi farlo da OVUNQUE (e col cazzen che lo becchi)

Qualunque persona macini un attimo di telecomunicazioni sa che non puo' esistere un sistema contemporaneamente sicuro e connesso... ci sara' SEMPRE la possibilita' di intrufolarsi indipendentemente da quanto e' fatto bene, quanto e' protetto, etc.. al massimo e' solo un bilancio tra quanta fatica fai e cosa ottieni, non a caso la PRIMA cosa che viene fatta quando serve un sistema sicuro e' che NON sia connesso.

Ma su un sistema del genere non hai nemmeno bisogno di "fare fatica" per essere una minaccia... ti basta ipotizzare di essere in grado di fare qualcosa per poter di fatto avere in mano un produttore... tu davvero rischieresti di scoprire il bluff di uno che ti viene a dire che e' in grado di far schiantare tutti i tuoi clienti di un certo mezzo? non serve nemmeno che riesca davvero a farlo, ti basta una "demo" come quella che e' successa al giornalista... e poi che fai?

[loric]

In questo paper viene spiegato cosa si può fare quando si achera un'auto. I test, nel paper in questione, sono effettuati su una Toyota e una Ford entrambe dotate di "ficiurs" avanzate come park assist e frenata di emergenza. E' un paper abbastanza datato, ma i concetti sono validi ancora oggi. La novità che abbiamo riscontrato nell'acheraggio della Cherokee rispetto a quanto riportato nel paper, è che l'accesso avviene da remoto (l'unico requisito è conoscere l'IP pubblico dell'uConnect dell'auto vittima), mentre nel paper si usa il tradizionale cavetto collegato alla presa diagnostica della centralina.

[jeby]

http://www.ilpost.it/2015/07/17/apple-carplay-android-auto/

Notare dove si parla di una falla nel sistema BMW che avrebbe consentito di aprire 2,2 milioni di auto tramite rete telefonica

Meno roba "smartphonosa" c'è, meglio è

[Ario_]

Io mi chiedo perché connettere tutto.

Un conto è connettere l'infotainement, o anche il clima. Ha senso per il cliente e se mi piratano l'auto il peggio che può capitarmi è impormi tutta la discografia di Gigi D'Alessio.

Un altro è rendere accessibili da remoto i sistemi di sicurezza o di bordo. Non serve a me cliente e in caso di hackeraggio son verghe!

[Nico87]

Ok, ma e' un pelo diverso... almeno devi essere a portata utile... con un mezzo connesso puoi farlo da OVUNQUE (e col cazzen che lo becchi)

Qualunque persona macini un attimo di telecomunicazioni sa che non puo' esistere un sistema contemporaneamente sicuro e connesso... ci sara' SEMPRE la possibilita' di intrufolarsi indipendentemente da quanto e' fatto bene, quanto e' protetto, etc.. al massimo e' solo un bilancio tra quanta fatica fai e cosa ottieni, non a caso la PRIMA cosa che viene fatta quando serve un sistema sicuro e' che NON sia connesso.

Ma su un sistema del genere non hai nemmeno bisogno di "fare fatica" per essere una minaccia... ti basta ipotizzare di essere in grado di fare qualcosa per poter di fatto avere in mano un produttore... tu davvero rischieresti di scoprire il bluff di uno che ti viene a dire che e' in grado di far schiantare tutti i tuoi clienti di un certo mezzo? non serve nemmeno che riesca davvero a farlo, ti basta una "demo" come quella che e' successa al giornalista... e poi che fai?

Si, intendevo riuscire a inserire il bloccasterzo da remoto.

[A.Masera]

FCA rischia di dover ritirare mezzo milioni di veicoli per aggiornamento SW.

Figura di m internazionale e rischio enorme perdita economica

[ricky1750]

FCA rischia di dover ritirare mezzo milioni di veicoli per aggiornamento SW.

Figura di m internazionale e rischio enorme perdita economica

Perché i 2.2 m di bmw che sono? Noccioline?

[Ospite]

l sistema utilizzava una connessione HTTP (non cifrata e non sicura) al server di BMW.

Pare che l'hack dell'Uconnect sia molto meno banale, ma dimostra che è stato adottato un design demenziale del sistema.

Quoto.

Il problema non è quanto sei connesso o cosa connetti, ma come ti proteggi da disturbi di vario genere.

Che poi si possa entrare dappertutto questo è un altro discorso, ma almeno il minimo sindacale

Sottovalutare questi rischi è essere dei cazzoni. Punto.

[crabble]

I problemi delle automobili connesse - Il Post

Notare dove si parla di una falla nel sistema BMW che avrebbe consentito di aprire 2,2 milioni di auto tramite rete telefonica

Meno roba "smartphonosa" c'è, meglio è

FCA rischia di dover ritirare mezzo milioni di veicoli per aggiornamento SW.

Figura di m internazionale e rischio enorme perdita economica

Perché i 2.2 m di bmw che sono? Noccioline?

La differenza è che BMW ha upgradato i loro serve via https, non ha richiamato auto. E`una falla molto più marginale (l'avevo letta bene, è stupida proprio, falla da principianti), quella della FCA è più complessa da mettere in atto ma è anche più difficile fixare e probabilmente richiederà il richiamo sulle auto senza SIM, ovvero senza possibilità di fare aggiornamento OTA!

Ad ogni modo, fonte omniauto e tutti i blog USA

Hacker e auto, negli USA la prima legge per proteggersi

“Mentre le case automobilistiche erano concentrate sulla “next big thing”, hanno lasciato le auto del tutto vulnerabili agli hacker e a chiunque voglia impadronirsi anche solo dei dati sensibili” con queste parole il Senatore americano Richard Blumenthal ha commentato la deposizione del disegno di legge che ha firmato con l’altro Senatore democratico, Ed Markey, per richiedere la definizione di standard di sicurezza federali da applicare sui milioni di automobili e mezzi pesanti che circolano negli Stati Uniti e che hanno un sistema di infotainment vulnerabili. Probabilmente, con lo Security and Privacy in Your Car Act (SPY Act), sarò impossibile aggiornarle retroattivamente tutte, ma almeno si creerà la risposta ad uno dei problemi più importanti del presente e del futuro prossimo. Anche secondo Markey “C’è bisogno di regole chiare, per proteggere dati, sicurezza e privacy degli automobilisti, in un’era dove la connettività dei veicoli cresce di giorno in giorno”.

BMW aggiorna 2,2 milioni di auto

Saranno la National Highway Traffic Safety Administration e la Federal Trade Commission a definire sia questi standard che un sistema di rating che informi i consumatori del livello di protezione che ogni auto è in grado di garantire, sulla falsa riga di quello che accade già con i crash test. Se tutto questo vi sembra eccessivo, sappiate che solo sei mesi fa BMW ha dovuto aggiornare l’infotainment di 2,2 milioni di auto che si potevano tranquillamente aprire a distanza con uno smartphone, senza avere la chiave. Ci vuole poco per bucare i sistemi informatici delle auto, che quasi sempre non hanno alcun tipo di protezione oppure ce l’hanno ma è molto elementare; basta un banale smartphone usato nel modo giusto, o una chiavetta USB, una SD card, ma anche un CD.

Le case si alleano

Quando si è dentro, poi, ci si può sbizzarrire con ogni tipo di azione, dal più banale furto dei dati sensibili a quello dell’auto stessa, ma si può anche pensare ad azioni criminali di ogni genere, visto che si ha in mano il totale controllo dell’auto. Nello show americano “60 Minuti”, un ricercatore armato di pc portatile ha mostrato come si possa prendere il controllo dell’auto, disattivando anche i freni, con un semplice software che si acquista online a 25 dollari. Impressionante, soprattutto se si pensa agli sviluppi futuri della guida autonoma e delle auto connesse tra di loro e a loro volta con le infrastrutture esterne. Ma Alliance of Automobile Manufacturers ha dichiarato che le Case stesse stanno discutendo della creazione di un centro di analisi specifico per la condivisione e l’analisi di queste informazioni, per far fronte comune contro i cyber attacchi del terzo millennio.

Modificato 22 Luglio 2015 da crabble

[ricky1750]

Perché stavolta hanno beccato questa falla ed è bastato quello... Non capisco il senso di additare i rischi e le problematiche di gestione solo di un cherooke - che ci sono, come per tutti i mezzi con questo tipo di inutilità - quando altri produttori hanno numeri di installato incredibilmente più elevati e Potenzialmente dimensioni di rogne da dover gestire immensamente più grandi.. È come puntare un produttore che fa 50mila telefoni per vulnerabilità e possibili problemi e ignorare Apple... Potenzialmente rischiano molto di più i secondi. C'è gente che sta già lavorando a fare controlli, diagnosi e assistenza al veicolo collegandosi direttamente da remoto alla macchina mentre sta in garage. Auguri.