La falla Critica RCE nella Tesla Model 3 scoperta al Pwn2Own sfrutta i sensori dei pneumatici

Lo scorso gennaio, durante la competizione di sicurezza informatica Pwn2Own 2024, è stata scoperta una vulnerabilità critica nella comunicazione del sistema di monitoraggio della pressione dei pneumatici (TPMS) della Tesla Model 3.

Questo difetto ha permesso agli attaccanti di eseguire codice malevolo da remoto sul sistema immobilizzatore del veicolo.

Il pieno resoconto di questa scoperta non è ancora stato reso pubblico, ma alcuni dettagli sono emersi durante la conferenza HexaCon, tenutasi di recente.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

I ricercatori David Berard e Thomas Imbert, appartenenti al team di Synacktiv, hanno presentato la catena di attacco che hanno sfruttato per compromettere la Tesla Model 3. Il punto di partenza dell’attacco è il sistema TPMS, che comunica in modalità wireless con l’auto. Questo sistema è stato utilizzato come vettore per eseguire codice dannoso sull’ECU immobilizzatore, noto come VCSEC.

Il VCSEC è un’unità critica per la sicurezza del veicolo, poiché gestisce la comunicazione con gli smartphone degli utenti per sbloccare e avviare l’auto, oltre a coordinare le funzioni del TPMS. Come riportato dai ricercatori, questo sistema utilizza più interfacce di comunicazione, tra cui il Bluetooth Low Energy (BLE), impiegato sia dai sensori TPMS che dagli smartphone.

Inoltre, gli smartphone possono utilizzare l’interfaccia Ultra Wide Band (UWB) per migliorare la comunicazione con l’auto.

Sebbene la ricerca completa non sia ancora disponibile, questa scoperta solleva importanti questioni sulla sicurezza delle auto connesse e sull’utilizzo di sistemi wireless per funzioni critiche. Tesla è già stata informata della vulnerabilità e si attende una risposta formale da parte del produttore riguardo alle contromisure da adottare per mitigare il rischio di futuri attacchi.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.