L’incubo di tutti gli automobilisti ha rischiato di diventare realtà. È stata individuata una vulnerabilità (ora risolta) che consentiva di aprire tutti i veicoli di un determinato marchio, da remoto. Le conseguenze non sono difficili da immaginare. In più, la stessa falla esponeva le informazioni private sia delle vetture sia dei loro proprietari. Lo ha raccontato Eaton Zveare, ricercatore di Harness, attraverso le pagine del sito TechCrunch, affermando di aver scoperto il problema a tempo perso, seguendo un progetto personale durante il fine settimana.
Auto a rischio furto con questa vulnerabilità
Il punto debole è stato individuato nel portale a cui fa riferimento una rete di concessionari. Ha permesso di creare un account con privilegi di amministrazione, attraverso il quale consultare tutti i dettagli a proposito dei clienti e persino di tracciarne i movimenti, conoscendone la posizione in tempo reale.
Di quale marchio si tratta? Zveare ha dichiarato di non volerlo rendere noto. Si è limitato a far sapere che si tratta di un’azienda molto conosciuta e che controlla diversi brand sul mercato. Maggiori informazioni saranno rivelate durante la conferenza Def Con in scena la prossima settimana a Las Vegas.
Il ricercatore ha raccontato di aver preso il numero identificativo di una vettura dal parabrezza di un’auto in un parcheggio pubblico, sfruttando poi l’accesso ottenuto attraverso la vulnerabilità per risalire al proprietario. Una volta nel portale, il veicolo può essere associato a un qualsiasi dispositivo mobile e, con un’applicazione, controllare alcune funzionalità dell’abitacolo, da remoto, incluso lo sblocco delle serrature. Nelle mani di un malintenzionato, la falla si sarebbe immediatamente trasformata in un’arma estremamente efficace da impiegare per i furti.
Per i miei scopi, ho semplicemente trovato un amico che ha acconsentito a farmi prendere in consegna la sua auto. E ho accettato. Potrebbe praticamente farlo a chiunque, semplicemente conoscendone il nome, il che mi spaventa un po’. Oppure si potrebbe semplicemente cercare un’auto nei parcheggi.
La vulnerabilità è stata resa nota all’automaker nel febbraio 2025. Una volta presa in carico, i tecnici hanno impiegato circa una settimana di tempo prima di poter implementare una soluzione efficace.