Kaspersky: rischi di sicurezza con le app per auto

Mag 31, 2022 Redazione news News, RSS, Vulnerabilità 0

Kaspersky ha pubblicato uno studio sulla sicurezza delle app per auto che ha evidenziato rischi per alcune di quelle realizzate da terze parti

Kaspersky ha pubblicato uno studio sulla sicurezza delle app per auto che evidenzia una serie di problematiche. Oggi la componente digitale delle autovetture è importante e le varie case automobilistiche offrono app per controllarle da remoto.

Le funzioni incluse comprendono, per esempio, la verifica della posizione dell’auto, l’accensione del riscaldamento o dell’aria condizionata e il bloccare e sbloccare le portiere. Per ampliare le funzioni offerte dal software della casa automobilistica, esistono inoltre app di terze parti che sono state proprio l’oggetto dello studio di Kaspersky.

Se, infatti, quando si accede all’auto con l’app del produttore della vettura, i dati inseriti per l’accesso (nome utente e password) non sono condivisi con terze parti e sono gestiti rispettando gli standard di sicurezza a cui sono vincolate le case automobilistiche, la situazione è diversa con le applicazioni di terzi.

Per ottenere l’accesso al veicolo, le app di terze parte possono utilizzare due strade. La prima è sfruttare soluzioni appositamente sviluppate dalla casa automobilistica, che non richiedono le credenziali e danno un accesso limitato all’auto, consentendo di usare le funzionalità dell’app ma non di compiere azioni a rischio come sbloccare le portiere.

Secondo Kaspersky, queste app sono abbastanza sicure, ma sono ancora poche. La maggior parte delle app per auto richiede infatti lo username e la password dell’account fornito dal produttore della vettura, ottenendo l’accesso completo. Non sono però tenute a rispettare gli stessi requisiti di sicurezza delle case automobilistiche.

Secondo lo studio di Kaspersky più della metà degli sviluppatori di queste app non avverte gli utenti dei rischi legati alla cessione dell’account. Ci sono invece sviluppatori che avvisano gli utenti e che assicurano loro che non memorizzeranno le credenziali o che le salveranno in forma criptata.

Inoltre, ricordano agli utenti che il nome utente e la password sono necessari solo e unicamente per ottenere un token di autorizzazione. Il token consente a chiunque di utilizzare l’account per conto dell’utente, proprio come le credenziali di accesso, e anch’esso potrebbe essere divulgato se conservato in modo improprio.

Infine, Kaspersky sottolinea che è molto difficile verificare come vengano gestite le credenziali: in definitiva, o ci si fida degli sviluppatori o non si usa l’app. Per il 14% app analizzate dai ricercatori, inoltre, è impossibile contattare gli sviluppatori.

La situazione risulta simile per i servizi web: l’utente condivide le proprie credenziali senza sapere con certezza come verranno conservate e trattate. Da questo punto di vista, Kaspersky considera le soluzioni Open Source più trasparenti, dato che gli utenti esperti di tecnologia possono almeno studiare il codice.

Un altro problema sottolineato dallo studio è che esistono servizi di intermediazione che collegano i sistemi della casa automobilistica alle app di terzi. Questi servizi vengono utilizzati dagli sviluppatori di app per auto e servizi web, ma gli utenti potrebbero non essere al corrente della loro esistenza.

Kaspersky consiglia quindi, nel caso gli utenti abbiano bisogno di funzioni non presenti nell’app ufficiale del veicolo, di fare attenzione alla scelta dell’app esterna. Va prestato attenzione prima di tutto che offra dati di contattato raggiungibili ed è consigliabile cercare report di esperti di sicurezza e i feedback degli utenti esperti di tecnologia.

Chi sta già utilizzando un’app di terze parti ma vuole smettere di usarla, oltre a disinstallarla dallo smartphone dovrebbe infine svolgere altre azioni. La prima consigliata è verificare se bisogna anche annullare l’iscrizione o cancellare il proprio account con il servizio.

Per sicurezza è inoltre opportuno cambiare la password dell’account fornito dalla casa automobilistica e, se possibile, revocare l’accesso dell’app al proprio account contattando il sito web del produttore o l’assistenza tecnica.

Condividi l'articolo