NEWS

 
  • Home
  • Informazione
  • Privacy & Società
  • Scoperto un bug che permetteva di aprire da remoto centinaia di auto di un noto produttore e di risalire a tutti i dati del proprietario

Scoperto un bug che permetteva di aprire da remoto centinaia di auto di un noto produttore e di risalire a tutti i dati del proprietario

Sempre più forgiate per tutelare la privacy e la sicurezza, le nuove tecnologie non sono però esenti da bug e vulnerabilità che possono essere sfruttate per compromettere dati sensibili e mettere a rischio la fiducia degli utenti. Proprio come è accaduto al portale web di una nota casa automobilistica che, proprio a causa di un bug, avrebbe reso pubbliche le informazioni dei clienti e dei loro veicoli, permettendo di sbloccarle anche a distanza.

A dichiararlo a TechCrunch è Eaton Zveare, ricercatore in sicurezza presso l'azienda di distribuzione di software Harness, che ha portato alla luce la falla.

Sebbene la vulnerabilità in questione non sia stata semplice da individuare, una volta scovata permetteva ai malintenzionati di creare un account come amministratore spianando la strada a svolgere una serie di attività, anche pericolose, per la sicurezza degli utenti: la porzione di codice difettosa, poiché caricata direttamente nel browser dell'utente malintenzionato, poteva essere modificata a piacimento così da aggirare i controlli di sicurezza e consentire la creazione di un nuovo account con privilegi illimitati.

Zveare ha prelevato il numero di telaio del veicolo dal parabrezza di un'auto ferma in un parcheggio pubblico ed è riuscito, utilizzando solo questa informazione, a risalire a tutti i dati del proprietario registrati presso la casa automobilistica – ma lo stesso poteva essere fatto anche solo conoscendo il nome e cognome del proprietario.

Inoltre, accedendo al portale sfruttando il bug era possibile associare un veicolo a un account mobile quindi ricorrere a funzioni disponibili tramite app come, ad esempio, la possibilità di aprire le portiere a distanza: “Per i miei scopi, ho semplicemente trovato un amico che ha acconsentito a farmi prendere in consegna la sua auto, e ho accettato. Ma il portale potrebbe praticamente permetterlo a chiunque, semplicemente conoscendone il nome oppure semplicemente cercando un'auto nei parcheggi” afferma il ricercatore.

Non è chiaro se il bug permettesse anche di avviare l’auto, tuttavia il solo fatto di potersi introdurre nell’abitacolo esponeva già il veicolo al furto di oggetti personali. Inoltre, la fonte non ha reso noto il nome della casa automobilistica coinvolta, pur trattandosi di un marchio molto conosciuto con numerosi sottomarchi.

Dopo la segnalazione del ricercatore risalente allo scorso febbraio, il produttore in questione è intervenuto per risolvere la vulnerabilità precisando di non essere riuscito a trovare prove di un utilizzo illecito precedente, lasciando così intendere che Eaton Zveare sia stato il primo a scoprirle.

Fonte: Wired

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: urp@federprivacy.org 

Articoli correlati

Prev Solo il 7% degli utenti vuole che i propri dati vengano usati dall’intelligenza artificiale, ma intanto Meta addestra i suoi algoritmi senza chiedere alcun consenso
Next Gli hacker violano i sistemi del CRM di Google

Galleria Video

Vademecum per prenotare online le vacanze senza brutte sorprese

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza