Un grave problema di sicurezza informatica ha messo a rischio i dati personali e la sicurezza fisica dei clienti di una nota casa automobilistica, il cui nome per ora rimane riservato; la vicenda è stata resa nota dal ricercatore Eaton Zveare, esperto di sicurezza informatica in forza a Harness, che ha scoperto vulnerabilità talmente gravi da permettere a un malintenzionato di sbloccare da remoto un’auto, da qualsiasi luogo nel mondo.
Falle nel portale di una casa automobilistica: rischio di sblocco remoto delle auto
Tutto è iniziato quasi per caso, come ha raccontato il ricercatore in un’intervista prima del suo intervento alla conferenza Def Con di Las Vegas; analizzando il portale web dedicato alle concessionarie del marchio, Zveare si è accorto che il sistema presentava due falle nell’autenticazione API.
Individuarle non era semplice, ma una volta scovate si sono rivelate la chiave per bypassare completamente il login e creare un account con privilegi di amministratore nazionale; da lì l’accesso era praticamente illimitato, più di mille concessionarie negli Stati Uniti, dati personali e finanziari dei clienti, informazioni sui veicoli e persino funzioni di controllo remoto.
Il problema nasceva da un codice difettoso caricato direttamente nel browser della schermata di login, bastava modificarlo per aggirare i controlli di sicurezza; secondo il ricercatore, non ci sono prove di un uso malevolo precedente alla sua scoperta, ma l’impatto potenziale era enorme.
All’interno del portale era disponibile un potente strumento di ricerca, in grado di collegare un nome o un numero di telaio a dati sensibili come il proprietario del veicolo o altre informazioni. Zveare ha dimostrato come, prendendo un VIN (numero di telaio) visibile dal parabrezza di un’auto parcheggiata, fosse possibile risalire al proprietario in pochi istanti.
Non solo dati, grazie all’integrazione con l’app mobile ufficiale, un hacker avrebbe potuto associare un’auto a un proprio account e controllare funzioni come lo sblocco delle portiere; in un test autorizzato da un amico, Zveare è riuscito a prendere possesso di un’auto semplicemente dichiarando (senza alcuna verifica reale) di essere il legittimo proprietario. Se per lui è stata una prova controllata, nelle mani sbagliate sarebbe potuto diventare un sistema perfetto per furti lampo.
Le falle di sicurezza non si fermavano qui, il portale sfruttava un sistema di Single Sign-On che collegava diversi strumenti interni, e il ruolo di amministratore permetteva persino di impersonare altri utenti, accedendo ai loro account senza credenziali. Un incubo dal punto di vista della sicurezza, che ricordava un caso simile scoperto in un portale Toyota nel 2023.
Zveare ha trovato anche funzioni di tracciamento in tempo reale per veicoli a noleggio, di cortesia o in spedizione, con la possibilità (non testata) di bloccarli a distanza.
La buona notizia è che, dopo la segnalazione, la casa automobilistica ha risolto le vulnerabilità in circa una settimana, lo scorso febbraio.
- NIO è pronta a lanciare la nuova auto elettrica Firefly in Europa già da questo mese
- Con Model Y e Model 3 Tesla domina il mercato delle auto elettriche in Europa
- Tesla integra l’IA di Grok nelle sue auto con l’ultimo aggiornamento
- Successo per Tesla: consegnata autonomamente la prima auto, il video
I nostri contenuti da non perdere:
- 🔝 Importante: Oggi è il Cyber Monday: partito l'ultimo giorno delle migliori offerte del periodo
- 💻 Scegli bene e punta al sodo: ecco le migliori offerte MSI notebook business Black Friday 2025
- 💰 Risparmia sulla tecnologia: segui Prezzi.Tech su Telegram, il miglior canale di offerte
- 🏡 Seguici anche sul canale Telegram Offerte.Casa per sconti su prodotti di largo consumo