Siamo sicuri di volere l'auto ultraconnessa? Hacking a Jeep Cherokee

[crabble]

Bisogna entrare nell'ottica di tenere fuori fisicamente la gestione della guida dalla connettività alla rete. A costo di non avere (o ripensare completamente il funzionamento) alcune funzioni da smartphone. La via BMW di una chiave con display gia mi sembra ottima. Consente l'uso delle funzioni solo a chi la ha e in un raggio limitato.

Diversamente, non sono riuscite a evitare intrusioni società che fanno dell'informatica il core business, (vedere worm blaster o sasser che tanti casini crearono in passato) figuriamoci se riusciranno ditte che sviluppano infotainment come complemento del veicolo.

E si che la posta in gioco è molto piu alta.

Sugli aerei, ad esempio la parte infotainment a bordo, wifi ecc... è completamente scollegata dall'avionica dell'aereo per perseguire la sicurezza totale. E su una macchina non deve essere diverso.

Se leggi dall'inizio noterai che anche le chiavi BMW sono state cracckate, ovvero, se le lasci in casa, con un dispositivo che ne amplifica la potenza messo in giardino, ti aprono la macchina in garage...

E non solo le auto sono a richio

Hackers Can Seize Control of Electric Skateboards and Toss Riders | WIRED

[Nico87]

Si, ma non ti disattivano il comando acceleratore mentre sei in strada e lo mandano al 100%...

[ricky1750]

Si, ma non ti disattivano il comando acceleratore mentre sei in strada e lo mandano al 100%...

beh nzomma.... basta essere a tiro... e a tiro puo' voler dire piu' che abbastanza per essere una minaccia. Ricordiamoci che il raggio di azione di un segnale radio e' solo in parte controllabile da una delle due parti (tx e rx), e la parte remota puo' sempre intervenire su potenza dell'emissione e/o guadagno antenna.. di fatto, curvatura terrestre a parte, l'unico ostacolo per aumentare il raggio di azione indipendentemente dall'alta parte e' riuscire ad avere un antenna con sufficiente guadagno (e conseguentemente grande).

Oltretutto non so su che frequenze viaggiano questi affari, ma dubito siano elevate, quindi ancora peggio...

[crabble]

Ecco, mancavano le pompe di benzina In italia siamo immuni credo

Hackers have figured out how to attack gas pumps, and things could get really dangerous

REUTERS/Adnan AbidiSecurity researchers found that gas pumps in the US are the most targeted by hackers.

Your car isn’t the only thing hackers may be targeting.

Two security researchers recently revealed that gas pumps are becoming a more common target of cybercrime.

In February, after an internet-connected gas pump was hacked, Trend Micro security researchers Kyle Wilhoit and Stephen Hilt set out to find just how prevalent these kinds of attacks are becoming.

As part of their research, Wilhoit and Hilt set up fake gas pump systems called “GasPots” in several countries to track any suspicious activity. They tracked the GasPots for six months and found that these systems are easy to breach and that hackers are going after gas pumps in the US the most.

Gas pumps these days have something called gas monitoring systems or automatic tank-gauging (ATG), which is basically an internet-connected system that is used to track things like fuel levels and temperature. But the resaerchers found that a lot of these systems are not password protected, so they are easy targets.

Wilhoit and Hilt found that attacks against GasPots in the US accounted for 44% of the total number of attacks. Jordan accounted for the second most attacks at 17% and Brazil, the UAE, and the UK all tied for third at 11%. Only six percent stemmed from Russia and interestingly none of the GasPots in Germany were attacked.

While the researchers found that hackers primarily just renamed the “GasPots” tank names once they got into a system, it’s possible could do a lot more harm.

TrendMicroPercentage of attacks on GasPots deployments by country

Because hackers get access to critical data about pumps when they breach a system, they could potentially alter stats to create a dangerous situations. As the researchers describe in their paper, a hacker could change the tank’s overflow limit to a limit beyond its capacity and trigger an overflow and possible explosion.

[Felis]

Ragazzi, new entry!

[h=1]Il gadget da 32 dollari che apre macchine e garage[/h]Un hacker ha realizzato un dispositivo economico, capace di intercettare e memorizzare i codici di sblocco inviati tramite telecomando

Come se non bastassero le infiltrazioni nelle auto in corsa, alla Def Con appena conclusa l’hacker Samy Kamkar ha mostrato un modo per “scassinare” le macchine e i garage che si aprono tramite telecomando, rubando il codice del proprietario con un metodo tutto sommato semplice, ma brillante.

Kamkar ha creato un dispositivo del valore di 32 dollari, RollJam, capace di scavalcare le normali protezioni che si basano sulla generazione di codici unici, che non possono essere quindi usati due volte.

RollJam sfrutta una debolezza di questo sistema: nella maggior parte dei casi, infatti, i codici non scadono. Quando il proprietario preme il tasto del telecomando o del portachiavi, il dispositivo (nascosto nelle vicinanze) disturba il segnale radio (jamming) impedendo che il codice giunga a destinazione, e al tempo stesso lo copia. Il proprietario ignaro, dopo il tentativo misteriosamente fallito, riproverà ad aprire la macchina o il garage: a questo punto RollJam invia il primo codice, che fa scattare la serratura, e copia il secondo, che resta a disposizione dell’hacker che può utilizzarlo quando vuole.

Perché, appunto, il codice è ancora valido.

Secondo Kamkar le auto più vulnerabili (non tutte ovviamente) sono quelle di Nissan, Cadillac, Ford, Toyota, Lotus, Volkswagen e Chrysler e i sistemi di sicurezza Cobra e Viper. In ogni caso, l’obiettivo dell’hacker non è aprire tutte le macchine e i garage degli Usa, ma quello di spingere le case ad aggiornare i loro meccanismi di sicurezza, introducendo per esempio codici che scadono dopo pochi secondi.

Il gadget da 32 dollari che apre macchine e garage - Wired

[crabble]

Ragazzi, new entry!

Il gadget da 32 dollari che apre macchine e garage

Un hacker ha realizzato un dispositivo economico, capace di intercettare e memorizzare i codici di sblocco inviati tramite telecomando

Come se non bastassero le infiltrazioni nelle auto in corsa, alla Def Con appena conclusa l’hacker Samy Kamkar ha mostrato un modo per “scassinare” le macchine e i garage che si aprono tramite telecomando, rubando il codice del proprietario con un metodo tutto sommato semplice, ma brillante.

Kamkar ha creato un dispositivo del valore di 32 dollari, RollJam, capace di scavalcare le normali protezioni che si basano sulla generazione di codici unici, che non possono essere quindi usati due volte.

RollJam sfrutta una debolezza di questo sistema: nella maggior parte dei casi, infatti, i codici non scadono. Quando il proprietario preme il tasto del telecomando o del portachiavi, il dispositivo (nascosto nelle vicinanze) disturba il segnale radio (jamming) impedendo che il codice giunga a destinazione, e al tempo stesso lo copia. Il proprietario ignaro, dopo il tentativo misteriosamente fallito, riproverà ad aprire la macchina o il garage: a questo punto RollJam invia il primo codice, che fa scattare la serratura, e copia il secondo, che resta a disposizione dell’hacker che può utilizzarlo quando vuole.

Perché, appunto, il codice è ancora valido.

Secondo Kamkar le auto più vulnerabili (non tutte ovviamente) sono quelle di Nissan, Cadillac, Ford, Toyota, Lotus, Volkswagen e Chrysler e i sistemi di sicurezza Cobra e Viper. In ogni caso, l’obiettivo dell’hacker non è aprire tutte le macchine e i garage degli Usa, ma quello di spingere le case ad aggiornare i loro meccanismi di sicurezza, introducendo per esempio codici che scadono dopo pochi secondi.

Il gadget da 32 dollari che apre macchine e garage - Wired

Non tanto new è negli ultimi messaggi della pagina precedente: #59

Comunque è normale, sarà sempre così... prima uscivano i gadgets per aprire le portiere manualmente, adesso quelli tech

[Ospite]

Non c'è il gadget per aprire la testa a quelli che ti aprono l'auto?

[crabble]

Ecco, adesso basta un dongle OBD ed un sms per togliere i freni

Hackers have figured out how to take over the brakes in some cars with a simple text message

Security researchers found vulnerabilities in car dongles can be used to breach vehicles.

Security researchers recently found a vulnerability in some car dongles that could enable hackers to control the brakes of a vehicle by sending a simple text message to the device.

Car dongles are a USB-like device that plug into a vehicle’s on-board diagnostics (OBD) port under the dashboard. A lot of car owners these days are using dongles to make their cars smarter.

The plug-in devices can do things like diagnose engine problems, remember where you car is parked, track mileage for insurance purposes, or even contact emergency services in case you get in an accident.

But a team at the University of California San Diego discovered that cellular-capable dongles can also be an easy entry point for hackers to attack your car.

The specific dongle that the researchers tested were those made by Mobile Devices and distributed by Metromile, which uses the devices for its pay-per-mile insurance business.

They found two security holes that needed to be patched in the device. The first was in the update protocol in devices and the second was in the configuration options, which includes the use of text messages (SMS).

MetromileThe Metromile dongle.

The researchers demonstrated that you can send commands to the dongle via SMS that can control the brakes and the windshield wipers.Metromile, though, told Tech Insider that it has fixed the vulnerability and that users are no longer exposed.

"We took immediate action and released updates to all devices in the field to resolve the discovered remote exploits and can confirm that most of the devices have successfully downloaded and applied the patch and we expect the remainder of devices to be patched by mid-August," the company said in a statement to Tech Insider.

Watch the video below to see the researchers use text messages to control a Corvette that has the dongle plugged in.

[J-Gian]

Mi sono sempre chiesto quanto questi aggeggi BT potessero essere fonte di possibili guai, specie se connessi al cellulare

Intanto, notizia che centrerebbe con la guida autonoma, ma che sta bene anche qui:

[...] Per una maggior sicurezza sulle strade occorre allora passare per la completa informatizzazione dei sistemi di bordo dei veicoli, e al tema stanno lavorando da tempo alcune tra le case produttrici più importanti al mondo, riunite sotto la sigla CAMP (Crash Avoidance Metrics Partnership), al fine di mettere in piedi a una infrastruttura digitale a chiave pubblica che consenta di certificare la sicurezza delle comunicazioni scambiate tra più entità (in questo caso tra veicoli, oppure tra veicoli e segnali stradali). [...]

Un protocollo mondiale contro i possibili hacker delle auto | Il blog

[crabble]

Mi sono sempre chiesto quanto questi aggeggi BT potessero essere fonte di possibili guai, specie se connessi al cellulare

Intanto, notizia che centrerebbe con la guida autonoma, ma che sta bene anche qui:

Un protocollo mondiale contro i possibili hacker delle auto | Il blog

Il problema è che se è uno standard....basta cracckarlo una volta per cracckare tutto Comunque è sicuramente una notizia positiva!

Intanto viene fuori un bug di moltissime chiavi che ne permettono facilmente l'apertura dell'auto carpendo il codice cifrato con una bassa sicurezza.

Volkswagen, Audi, Fiat, Honda e Volvo con chiavi fallate: spiegato il furto facile

Volkswagen, Audi, Fiat, Honda e Volvo sanno che le loro (vecchie?) chiavi elettroniche e anche i sistemi keyless hanno falle di sicurezza che possono agevolare i ladri nel furto di veicoli. Il problema è che dal 2012 sono a conoscenza di una "debolezza" insita in un chip che si nasconde nelle chiavi di milioni di auto.

Oggi non sappiamo se il Megamos transponder sia stato aggiornato, sostituito o altro. L'unica certezza è che i produttori d'auto non ne hanno mai parlato e mai hanno effettuato un richiamo in tal senso, ma si sono preoccupati immediatamente di denunciare i ricercatori che hanno scoperto la falla - anche se lo studio era stato condiviso in modalità riservata.

Megamos chip

La notizia adesso è di dominio pubblico perché durante la recente USENIX security conference un gruppo di specialisti della Radboud University (Nimega, Paesi Bassi) ha pubblicato un approfondito studio al riguardo chiamato "Dismantling Megamos Crypto: Wirelessly Lockpicking a Vehicle Immobilizer". In questo si spiega con dovizia di particolari come nel protocollo di cifratura e autenticazione del Megamos RFID transponder – usato da moltissime auto – vi siano gravi falle.

Elenco auto a rischio?

In pratica intercettando la comunicazione wireless tra la chiave e l'immobilizer bordo è possibile identificare il codice alfanumerico di sblocco riducendo notevolmente il numero di tentativi. Sebbene la cifratura sia teoricamente a 96 bit la falla consente di ridurre le prove a circa 196mila e in alcuni casi anche meno. Insomma, nella peggiore delle ipotesi i ricercatori hanno impiegato 30 minuti per sbloccare l'auto, nella migliore pochi minuti. Il tutto sfruttando la capacità computazionale di un comune portatile.

Sarà stata sufficiente una patch per risolvere il problema? No, ed è questo il secondo grandissimo problema. Perché la falla è nei chip RFID presenti sia sulle chiavi che nei trasponder delle auto. Quindi si parla proprio di sostituzione. In questi anni un richiamo di questo tipo non sembra essersi concretizzato, quindi per chi ha un'auto del 2012 si pone un problema di sicurezza?

Volkswagen, Audi, Fiat, Honda e Volvo con chiavi fallate: spiegato il furto facile - Tom's Hardware

Questo è diventata la discussione della paura comunque horror automobilisto