Tesla: con un drone wi-fi, è possibile compromettere le auto parcheggiate.

Redazione RHC : 3 Maggio 2021 07:18

I ricercatori di sicurezza Ralf-Philipp Weinmann di Kunnamon, Inc. e Benedikt Schmotzle di Comsecuris GmbH, scoprirono nel 2020 delle vulnerabilità zero-click nel componente software open source ConnMan, utilizzato da Tesla nelle sue autovetture chiamando questi exploit con il nome “TBONE”.

Ma siccome il concorso PWN2OWN 2020 è stato annullato a causa del COVID-19, i ricercatori hanno subito avvertito Tesla che li ha fixati ad ottobre 2020.

Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber "Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime.  Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.  Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.  Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected] Supporta RHC attraverso: L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Ma alla Conferenza CanSecWest 2021, tenutasi di recente, i ricercatori hanno dimostrato il funzionamento dei loro exploit (che non hanno richiesto l’iterazione da parte del veicolo) attraverso l’utilizzo di un drone DJI Mavic 2 che trasportava un dongle WIFI.

Sfruttando i difetti, è stato possibile:

1. Compromettere le auto parcheggiate;
2. Ottenere il controllo del loro sistema di infotainment tramite WIFI;
3. Bloccare o sbloccare il bagagliaio e le porte, modificare anche le posizioni dei sedili;
4. Cambiare le modalità di sterzo e di accelerazione;
5. Modificare le impostazioni e la temperatura dell’aria condizionata.

Ciò significa che un hacker poteva eseguire da remoto tutte quelle funzioni che un guidatore può svolgere mentre è seduto comodamente all’interno della macchina.

Secondo i ricercatori, anche altri marchi automobilistici possono essere vulnerabili perché quasi la metà dell’industria automobilistica utilizza ConnMan. I componenti interessati sono ampiamente utilizzati nei sistemi di infotainment e nelle auto connesse ad Internet.

Per impedire ad altri produttori di ottenere il dirottamento del sistema di infotainment delle loro auto, i ricercatori hanno prima informato il creatore di ConnMan Intel e poi hanno coinvolto il CERT tedesco e la “più ampia industria automobilistica” nel gennaio 2021.

Le patch sono state archiviate nel repository Git e la nuova versione di ConnMan, la versione 1.39 è stata rilasciata nel febbraio 2021.

Weinmann ha affermato che l’attacco avrebbe potuto essere “wormable”, e quindi propagarsi da macchina a macchina, se avessero aggiunto un exploit per creare un nuovo firmware wifi della Tesla.

Questo avrebbe trasformato l’auto in un “punto di accesso” che avrebbero potuto utilizzare per sfruttare altre auto Tesla presenti nelle “vicinanze dell’auto della vittima”.

Tesla deve ancora commentare questo problema.

Parlammo molto tempo fa delle “botnet car” e di quello che potrebbe accadere qualora dei malintenzionati altamente motivati, producessero degli exploit capaci di avere il pieno controllo di una macchina. Pensiamo se questo sistema potesse accedere al controllo della guida, e ad un dato momento dire a tutte le macchine connesse nella “botnet-car” di sterzare a destra o premere sul freno. Cosa potrebbe accadere?

Fonte

https://www.hackread.com/tesla-cars-remotely-hacked-with-drone/

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli