L’enorme quantità di dispositivi ICT a bordo dei veicoli di nuova generazione – dai sensori all’assistente di parcheggio fino ai sistemi di infotainment – con le loro innumerevoli funzionalità e servizi, hanno comporta rischi concreti in termini di sicurezza che possono ripercuotersi sulla salvaguardia dei passeggeri.
Sono ormai numerosi i casi a10 conferma. Una vulnerabilità nel sistema di In-Vehicle Infotainment di Android, ad esempio, permette di accedere all’auto in modo totalmente trasparente all’utente, usando l’autoradio come ponte fra l’attaccante remoto e la rete intraveicolare.
Occorre quindi essere a conoscenza di tali rischi e adottare meccanismi e tecniche di protezione che possano impedire che malintenzionati accedano remotamente alle nostre auto per attivare funzionalità inaspettate che potrebbero avere impatto sulla sicurezza alla guida.
La (in)sicurezza nei veicoli connessi
Le funzionalità dell’auto sono gestite da centraline elettroniche (ECU) che sono collegate fra loro come una vera e propria rete di computer. Ogni veicolo ha a bordo da poche decine a un centinaio di ECU, che gestiscono le varie funzionalità scambiandosi un’enorme quantità di messaggi. Tale comunicazione avviene attraverso il protocollo di comunicazione Controller Area Network (CAN), che è lo standard di fatto sulla comunicazione all’interno del veicolo, che però, manca completamente di qualsiasi misura che possa garantire sicurezza in tali comunicazioni.
La sicurezza nelle comunicazioni fra le ECU storicamente era garantita dalla totale disconnessione di tale rete dal resto del mondo. Infatti, così come i vecchi personal computer erano meno vulnerabili fintanto che non esisteva Internet, così la rete intraveicolare può essere considerata maggiormente sicura fintanto che non si connetta a Internet e al mondo esterno. Questo metodo di protezione è riferito come “security-by-obscurity”. Attualmente, però, tale metodo risulta non più applicabile: le auto sono connesse ad internet attraverso reti WiFi e 3G/4G. Tali connessioni sono ormai di uso sui moderni veicoli a diversi scopi: aggiornamenti del software over-the-air e sistemi di infotainment sempre più evoluti.
In particolare, i sistemi di infotainment sono anche connessi internamente alla rete CAN. Questa connessione è necessaria per poter restituire informazioni utili al guidatore sullo stato dell’auto: temperatura dell’acqua, velocità, pressione delle gomme, etc. Sono proprio i sistemi di infotainment che, essendo connessi sia ad Internet che alla rete CAN, forniscono il punto di accesso per possibili attacchi alle auto. Tali attacchi possono avere diversi scopi. Difatti, la possibilità di ottenere da remoto informazioni sensibili inerenti alla rete di comunicazione interna dell’auto (utilizzo dei freni, dell’acceleratore, dell’ABS e così via) apre una pletora di scenari inimmaginabili solo fino a qualche anno fa.
Attacchi al sistema Android Infotainment
Le auto che utilizzano l’In-Vehicle Infotainment (IVI) basato sul sistema operativo Android (il più diffuso al mondo tra smartphone e tablet) e connesse al CAN bus dell’auto, possono fornire dei punti d’accesso ad utenti o processi non autorizzati.
Candy
A tal proposito, nel 2017 abbiamo sviluppato Candy, un malware, che sfruttando un meccanismo di diffusione di social-engineering, poteva essere installato nel veicolo vittima ed accedere ai servizi, come microfono interno dell’auto, telecamere di parcheggio, posizioni GPS, e rete CAN in modo non autorizzato.
Candy è composto da due parti:
- un attacco di tipo “cavallo di Troia” (Trojan Horse attack) per accedere da remoto a tutte le informazioni memorizzate nell’Android IVI del veicolo vittima e
- un attacco di “sniffing” delle informazioni circolanti sulla rete CAN successivamente usate per riconoscere il guidatore dell’auto vittima. L’autoradio è connessa sia alla rete CAN dell’auto attraverso un CAN bus-decoder, sia ad Internet attraverso una connessione Wi-Fi ed una chiavetta 3G.
CandyRE
Recentemente, agli inizi del 2019, abbiamo sviluppato CandyRE, un exploit remoto, che permette di sfruttare delle vulnerabilità riscontrate in un Android IVI per poter accedere all’auto in modo totalmente trasparente all’utente, usando l’autoradio come ponte fra l’attaccante remoto e la rete intra veicolare.
L’attacco quindi è stato sviluppato secondo una strategia ben nota, il cui primo passo è stato quello di fare analisi delle possibili vulnerabilità presenti nell’autoradio Android. Tali analisi sono state fatte con strumenti open-source quali, Nmap e OpenVas. Il primo è uno strumento per la scoperta e la certificazione della sicurezza di una rete che offre diverse opzioni per la scansione della stessa e permette di scoprire eventuali porte aperte di un dispositivo di destinazione. OpenVas è nato come sistema di valutazione della vulnerabilità e include test autenticati e non, e più di 50.000 test di vulnerabilità della rete (NVT) che consentano di analizzare approfonditamente le vulnerabilità riscontrate e scoprirne il relativo CVE – Common Vulnerabilities and Exposures.
Il rapporto fornito di Nmap ha evidenziato alcune porte aperte e, in particolare, un servizio in esecuzione sulla porta 5555. A prima vista, questa informazione non ha fornito indicazioni particolari sullo stato di sicurezza di Android IVI. Quindi, abbiamo deciso di operare un’ulteriore scansione tramite OpenVas e il report ha fornito ulteriori dettagli su un servizio vulnerabile in esecuzione porta 5555 (Fig. 1).
Fig. 1 – Dettagli del CVE relativi alla vulnerabilità riscontrata
L’Android Debug Bridge (ADB) è uno strumento sviluppato da Google e utilizzato dagli sviluppatori per scopi di debug che consente agli sviluppatori di accedere da remoto al dispositivo. L’ADB è uno strumento utile che dovrebbe essere usato solo durante la fase di configurazione dei dispositivi e dovrebbe essere interrotto quando non più necessario. Questa azione, tuttavia, potrebbe non essere eseguita dai rivenditori di dispositivi Android esponendo tali dispositivi ad un’importante falla di sicurezza informatica. Infatti, come riportato da Beaumont nel suo blog[1] nel giugno 2018, migliaia di dispositivi Android sono accessibili da remoto sfruttato tale vulnerabilità dal momento che i produttori di hardware mettono in commercio dispositivi con tale vulnerabilità e senza alcuno meccanismo di autenticazione.
I rischi di un attacco in ambito automotive
Per provare la pericolosità di tale vulnerabilità in ambito automotive, ci siamo connessi remotamente all’autoradio usando semplicemente l’indirizzo IP dell’Android IVI e una volta stabilita la connessione, abbiamo ricevuto il messaggio che ci avvisa della corretta connessione. A questo punto, avendo ottenuto un collegamento con il dispositivo attaccato è possibile interagire con esso. Ad esempio, potremmo avviare una shell remota sul dispositivo e navigare all’interno del sistema remoto. Fondamentalmente, l’attaccante ha il pieno controllo del dispositivo e può installare/cancellare file e applicazioni da esso.
Per finalizzare l’attacco sul veicolo attraverso l’autoradio Android, è necessario ottenere il controllo della rete CAN. Questa parte è stata simulata in laboratorio, con un simulatore di un quadro strumenti formato da un tachimetro, indicatori di cambio corsia e stato delle porte del veicolo, tutti dotati di interfaccia CAN installato su un pc in cui la rete CAN passa attraverso una connessione di tipo client-server tradizionale fra Android IVI e il simulatore.
In questo modo, è possibile concludere l’attacco attraverso l’installazione del nostro exploit chiamato CandyRE. In particolare, CandyRE ci permette attraverso un semplice menù di scegliere tra tre opzioni che permettono di inviare diversi messaggi CAN al quadro strumenti. In base all’opzione selezionata è possibile azionare comportamenti inattesi al tachimetro, così come attivare in maniera del tutto involontaria gli indicatori di cambio corsia dell’automobile. I risultati dell’attacco sono riscontrabili nelle immagini seguenti.
Esempi di vulnerabilità dei veicoli connessiNegli ultimi dieci anni, l’interesse dell’industria automobilistica si sta man mano spostando dalla ricerca della “safety” intesa come sicurezza fisica e personale del guidatore e dei passeggeri, alla ricerca in termini di sicurezza informatica e dell’impatto che l’introduzione di metodi atti a garantirla possono avere sulla safety del guidatore e dei passeggeri. Questa esigenza nasce da documentati e ben noti attacchi di cyber security che sono stati perpetrati, soprattutto a scopo di ricerca, negli ultimi 5 anni come dimostrazione delle vulnerabilità dei veicoli connessi:
|
____________________________________________________________
*Questo lavoro è frutto di una collaborazione svolta con Alessandro Brusca e Valentina Melani durante il loro periodo di tirocinio svolto presso lo IIT-CNR
- https://doublepulsar.com/root-bridge-how-thousands-of-internet-connected-android-devices-now-have-no-security-and-are-b46a68cb0f20 ↑
