Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

sicurezza

Auto connesse, ecco tutti i rischi di un cyber attacco: gli esempi concreti

La possibilità di connettere i propri veicoli a Internet comporta rischi concreti in termini di sicurezza (oltre che vantaggi nella guida) che possono ripercuotersi sulla salvaguardia dei passeggeri. CandyRE l’ultima vulnerabilità sperimentata sul sistema Android

10 Apr 2019

Gianpiero Costantino

Istituto di informatica e Telematica - Consiglio Nazionale delle Ricerche

Ilaria Matteucci

Istituto di informatica e Telematica - Consiglio Nazionale delle Ricerche


L’enorme quantità di dispositivi ICT a bordo dei veicoli di nuova generazione – dai sensori all’assistente di parcheggio fino ai sistemi di infotainment – con le loro innumerevoli funzionalità e servizi, hanno comporta rischi concreti in termini di sicurezza che possono ripercuotersi sulla salvaguardia dei passeggeri.

Sono ormai numerosi i casi a10 conferma. Una vulnerabilità nel sistema di In-Vehicle Infotainment di Android, ad esempio, permette di accedere all’auto in modo totalmente trasparente all’utente, usando l’autoradio come ponte fra l’attaccante remoto e la rete intraveicolare. 

Occorre quindi essere a conoscenza di tali rischi e adottare meccanismi e tecniche di protezione che possano impedire che malintenzionati accedano remotamente alle nostre auto per attivare funzionalità inaspettate che potrebbero avere impatto sulla sicurezza alla guida.

La (in)sicurezza nei veicoli connessi

Le funzionalità dell’auto sono gestite da centraline elettroniche (ECU) che sono collegate fra loro come una vera e propria rete di computer. Ogni veicolo ha a bordo da poche decine a un centinaio di ECU, che gestiscono le varie funzionalità scambiandosi un’enorme quantità di messaggi. Tale comunicazione avviene attraverso il protocollo di comunicazione Controller Area Network (CAN), che è lo standard di fatto sulla comunicazione all’interno del veicolo, che però, manca completamente di qualsiasi misura che possa garantire sicurezza in tali comunicazioni.

La sicurezza nelle comunicazioni fra le ECU storicamente era garantita dalla totale disconnessione di tale rete dal resto del mondo. Infatti, così come i vecchi personal computer erano meno vulnerabili fintanto che non esisteva Internet, così la rete intraveicolare può essere considerata maggiormente sicura fintanto che non si connetta a Internet e al mondo esterno. Questo metodo di protezione è riferito come “security-by-obscurity”. Attualmente, però, tale metodo risulta non più applicabile: le auto sono connesse ad internet attraverso reti WiFi e 3G/4G. Tali connessioni sono ormai di uso sui moderni veicoli a diversi scopi: aggiornamenti del software over-the-air e sistemi di infotainment sempre più evoluti.

In particolare, i sistemi di infotainment sono anche connessi internamente alla rete CAN. Questa connessione è necessaria per poter restituire informazioni utili al guidatore sullo stato dell’auto: temperatura dell’acqua, velocità, pressione delle gomme, etc. Sono proprio i sistemi di infotainment che, essendo connessi sia ad Internet che alla rete CAN, forniscono il punto di accesso per possibili attacchi alle auto. Tali attacchi possono avere diversi scopi. Difatti, la possibilità di ottenere da remoto informazioni sensibili inerenti alla rete di comunicazione interna dell’auto (utilizzo dei freni, dell’acceleratore, dell’ABS e così via) apre una pletora di scenari inimmaginabili solo fino a qualche anno fa.

Attacchi al sistema Android Infotainment

Le auto che utilizzano l’In-Vehicle Infotainment (IVI) basato sul sistema operativo Android (il più diffuso al mondo tra smartphone e tablet) e connesse al CAN bus dell’auto, possono fornire dei punti d’accesso ad utenti o processi non autorizzati.

Candy

A tal proposito, nel 2017 abbiamo sviluppato Candy, un malware, che sfruttando un meccanismo di diffusione di social-engineering, poteva essere installato nel veicolo vittima ed accedere ai servizi, come microfono interno dell’auto, telecamere di parcheggio, posizioni GPS, e rete CAN in modo non autorizzato.

Candy è composto da due parti:

  • un attacco di tipo “cavallo di Troia” (Trojan Horse attack) per accedere da remoto a tutte le informazioni memorizzate nell’Android IVI del veicolo vittima e
  • un attacco di “sniffing” delle informazioni circolanti sulla rete CAN successivamente usate per riconoscere il guidatore dell’auto vittima. L’autoradio è connessa sia alla rete CAN dell’auto attraverso un CAN bus-decoder, sia ad Internet attraverso una connessione Wi-Fi ed una chiavetta 3G.

CandyRE

Recentemente, agli inizi del 2019, abbiamo sviluppato CandyRE, un exploit remoto, che permette di sfruttare delle vulnerabilità riscontrate in un Android IVI per poter accedere all’auto in modo totalmente trasparente all’utente, usando l’autoradio come ponte fra l’attaccante remoto e la rete intra veicolare.

L’attacco quindi è stato sviluppato secondo una strategia ben nota, il cui primo passo è stato quello di fare analisi delle possibili vulnerabilità presenti nell’autoradio Android. Tali analisi sono state fatte con strumenti open-source quali, Nmap e OpenVas. Il primo è uno strumento per la scoperta e la certificazione della sicurezza di una rete che offre diverse opzioni per la scansione della stessa e permette di scoprire eventuali porte aperte di un dispositivo di destinazione. OpenVas è nato come sistema di valutazione della vulnerabilità e include test autenticati e non, e più di 50.000 test di vulnerabilità della rete (NVT) che consentano di analizzare approfonditamente le vulnerabilità riscontrate e scoprirne il relativo CVE – Common Vulnerabilities and Exposures.

Il rapporto fornito di Nmap ha evidenziato alcune porte aperte e, in particolare, un servizio in esecuzione sulla porta 5555. A prima vista, questa informazione non ha fornito indicazioni particolari sullo stato di sicurezza di Android IVI. Quindi, abbiamo deciso di operare un’ulteriore scansione tramite OpenVas e il report ha fornito ulteriori dettagli su un servizio vulnerabile in esecuzione porta 5555 (Fig. 1).

Fig. 1 – Dettagli del CVE relativi alla vulnerabilità riscontrata

L’Android Debug Bridge (ADB) è uno strumento sviluppato da Google e utilizzato dagli sviluppatori per scopi di debug che consente agli sviluppatori di accedere da remoto al dispositivo. L’ADB è uno strumento utile che dovrebbe essere usato solo durante la fase di configurazione dei dispositivi e dovrebbe essere interrotto quando non più necessario. Questa azione, tuttavia, potrebbe non essere eseguita dai rivenditori di dispositivi Android esponendo tali dispositivi ad un’importante falla di sicurezza informatica. Infatti, come riportato da Beaumont nel suo blog[1] nel giugno 2018, migliaia di dispositivi Android sono accessibili da remoto sfruttato tale vulnerabilità dal momento che i produttori di hardware mettono in commercio dispositivi con tale vulnerabilità e senza alcuno meccanismo di autenticazione.

I rischi di un attacco in ambito automotive

Per provare la pericolosità di tale vulnerabilità in ambito automotive, ci siamo connessi remotamente all’autoradio usando semplicemente l’indirizzo IP dell’Android IVI e una volta stabilita la connessione, abbiamo ricevuto il messaggio che ci avvisa della corretta connessione. A questo punto, avendo ottenuto un collegamento con il dispositivo attaccato è possibile interagire con esso. Ad esempio, potremmo avviare una shell remota sul dispositivo e navigare all’interno del sistema remoto. Fondamentalmente, l’attaccante ha il pieno controllo del dispositivo e può installare/cancellare file e applicazioni da esso.

Per finalizzare l’attacco sul veicolo attraverso l’autoradio Android, è necessario ottenere il controllo della rete CAN. Questa parte è stata simulata in laboratorio, con un simulatore di un quadro strumenti formato da un tachimetro, indicatori di cambio corsia e stato delle porte del veicolo, tutti dotati di interfaccia CAN installato su un pc in cui la rete CAN passa attraverso una connessione di tipo client-server tradizionale fra Android IVI e il simulatore.

In questo modo, è possibile concludere l’attacco attraverso l’installazione del nostro exploit chiamato CandyRE. In particolare, CandyRE ci permette attraverso un semplice menù di scegliere tra tre opzioni che permettono di inviare diversi messaggi CAN al quadro strumenti. In base all’opzione selezionata è possibile azionare comportamenti inattesi al tachimetro, così come attivare in maniera del tutto involontaria gli indicatori di cambio corsia dell’automobile. I risultati dell’attacco sono riscontrabili nelle immagini seguenti.

keyboard_arrow_right
keyboard_arrow_left

Esempi di vulnerabilità dei veicoli connessi

Negli ultimi dieci anni, l’interesse dell’industria automobilistica si sta man mano spostando dalla ricerca della “safety” intesa come sicurezza fisica e personale del guidatore e dei passeggeri, alla ricerca in termini di sicurezza informatica e dell’impatto che l’introduzione di metodi atti a garantirla possono avere sulla safety del guidatore e dei passeggeri. Questa esigenza nasce da documentati e ben noti attacchi di cyber security che sono stati perpetrati, soprattutto a scopo di ricerca, negli ultimi 5 anni come dimostrazione delle vulnerabilità dei veicoli connessi:

  • Nel mese di luglio 2015, la rivista WIRED ha riportato la notizia di un dirottamento perpetrato a Jeep Cherokee. I due ricercatori, creatori dell’attacco, sono stati capaci di regolare a distanza l’aria condizionata, controllare la radio e i tergicristalli, e addirittura guidare l’automobile al posto del conducente. In particolare, i ricercatori hanno sfruttato la connessione Internet del sistema di infotainment U-Connect del veicolo, attraverso il quale il produttore dell’auto può aggiornare il software via etere. La mancanza di controlli di sicurezza del sistema U-Connect ha permesso il caricamento di una versione malevola del software, grazie alla quale è stato possibile il controllo remoto del veicolo. Questo fatto è stato pubblicato pochi giorni dopo l’emissione di una multa di 70M di dollari che Fiat Chrysler Automobiles (FCA) ha accettato di pagare alla National Highway Traffic Safety Administration (NHTSA) relativa alla gestione delle campagne di richiamo dei veicoli negli Stati Uniti.
  • Dopo meno di dieci giorni, anche General Motors (GM) è stata vittima di un problema di carjacking. Uno sviluppatore software di 29 anni ha realizzato un modo per attaccare le auto GM utilizzando un dispositivo creato ad-hoc, chiamato OwnStar, per intercettare le informazioni inviate dal sistema ufficiale OnStar, integrato in molte auto GM, che consente ai proprietari di sbloccare a distanza o avviare la propria auto attraverso un’APP o un servizio telefonico. In questo modo, lo sviluppatore è stato in grado di localizzare, sbloccare e avviare un veicolo GM senza utilizzare il sistema proprietario OnStar.

____________________________________________________________

*Questo lavoro è frutto di una collaborazione svolta con Alessandro Brusca e Valentina Melani durante il loro periodo di tirocinio svolto presso lo IIT-CNR

  1. https://doublepulsar.com/root-bridge-how-thousands-of-internet-connected-android-devices-now-have-no-security-and-are-b46a68cb0f20

@RIPRODUZIONE RISERVATA

Articolo 1 di 4