Aggiornamenti recenti Dicembre 9th, 2025 10:15 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- React2Shell: più di 160.000 indirizzi IP vulnerabili, oltre 30 organizzazioni già colpite
- CERT-AGID 29 novembre – 5 dicembre: phishing a tema Governo italiano e Agenzia delle Entrate
- Iniezione indiretta di prompt: a rischio le informazioni aziendali
- Dark Telegram in ritirata: aumentano le chiusure dei canali clandestini
- PickleScan, scoperti tre bug 0-day che permettono di iniettare payload malevoli nei modelli ML
Kaspersky: rischi di sicurezza con le app per auto
Kaspersky ha pubblicato uno studio sulla sicurezza delle app per auto che ha evidenziato rischi per alcune di quelle realizzate da terze parti
Kaspersky ha pubblicato uno studio sulla sicurezza delle app per auto che evidenzia una serie di problematiche. Oggi la componente digitale delle autovetture è importante e le varie case automobilistiche offrono app per controllarle da remoto.
Le funzioni incluse comprendono, per esempio, la verifica della posizione dell’auto, l’accensione del riscaldamento o dell’aria condizionata e il bloccare e sbloccare le portiere. Per ampliare le funzioni offerte dal software della casa automobilistica, esistono inoltre app di terze parti che sono state proprio l’oggetto dello studio di Kaspersky.
Se, infatti, quando si accede all’auto con l’app del produttore della vettura, i dati inseriti per l’accesso (nome utente e password) non sono condivisi con terze parti e sono gestiti rispettando gli standard di sicurezza a cui sono vincolate le case automobilistiche, la situazione è diversa con le applicazioni di terzi.
Per ottenere l’accesso al veicolo, le app di terze parte possono utilizzare due strade. La prima è sfruttare soluzioni appositamente sviluppate dalla casa automobilistica, che non richiedono le credenziali e danno un accesso limitato all’auto, consentendo di usare le funzionalità dell’app ma non di compiere azioni a rischio come sbloccare le portiere.
Secondo Kaspersky, queste app sono abbastanza sicure, ma sono ancora poche. La maggior parte delle app per auto richiede infatti lo username e la password dell’account fornito dal produttore della vettura, ottenendo l’accesso completo. Non sono però tenute a rispettare gli stessi requisiti di sicurezza delle case automobilistiche.
Secondo lo studio di Kaspersky più della metà degli sviluppatori di queste app non avverte gli utenti dei rischi legati alla cessione dell’account. Ci sono invece sviluppatori che avvisano gli utenti e che assicurano loro che non memorizzeranno le credenziali o che le salveranno in forma criptata.
Inoltre, ricordano agli utenti che il nome utente e la password sono necessari solo e unicamente per ottenere un token di autorizzazione. Il token consente a chiunque di utilizzare l’account per conto dell’utente, proprio come le credenziali di accesso, e anch’esso potrebbe essere divulgato se conservato in modo improprio.
Infine, Kaspersky sottolinea che è molto difficile verificare come vengano gestite le credenziali: in definitiva, o ci si fida degli sviluppatori o non si usa l’app. Per il 14% app analizzate dai ricercatori, inoltre, è impossibile contattare gli sviluppatori.
La situazione risulta simile per i servizi web: l’utente condivide le proprie credenziali senza sapere con certezza come verranno conservate e trattate. Da questo punto di vista, Kaspersky considera le soluzioni Open Source più trasparenti, dato che gli utenti esperti di tecnologia possono almeno studiare il codice.
Un altro problema sottolineato dallo studio è che esistono servizi di intermediazione che collegano i sistemi della casa automobilistica alle app di terzi. Questi servizi vengono utilizzati dagli sviluppatori di app per auto e servizi web, ma gli utenti potrebbero non essere al corrente della loro esistenza.
Kaspersky consiglia quindi, nel caso gli utenti abbiano bisogno di funzioni non presenti nell’app ufficiale del veicolo, di fare attenzione alla scelta dell’app esterna. Va prestato attenzione prima di tutto che offra dati di contattato raggiungibili ed è consigliabile cercare report di esperti di sicurezza e i feedback degli utenti esperti di tecnologia.
Chi sta già utilizzando un’app di terze parti ma vuole smettere di usarla, oltre a disinstallarla dallo smartphone dovrebbe infine svolgere altre azioni. La prima consigliata è verificare se bisogna anche annullare l’iscrizione o cancellare il proprio account con il servizio.
Per sicurezza è inoltre opportuno cambiare la password dell’account fornito dalla casa automobilistica e, se possibile, revocare l’accesso dell’app al proprio account contattando il sito web del produttore o l’assistenza tecnica.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Iniezione indiretta di prompt: a rischio le informazioni... Lakera, società di Check Point, ha pubblicato una ricerca... -
Gli LLM malevoli aiutano i piccoli cybercriminali, ma non... Dopo l’esplosione di ChatGPT e degli LLM, nel mondo... -
Codice formattato, ma migliaia di secret esposti: il... I ricercatori di watchTowr Labs hanno individuato migliaia... -
DeepSeek R1 produce codice vulnerabile con prompt... Analizzando DeepSeek R1, un potente LLM dell’omonima... -
Come Firemon supporta i propri partner nel processo di... Lo scorso marzo Skybox Security, società israeliana di...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
React2Shell: più di 160.000 indirizzi IP vulnerabili,... React2Shell, una vulnerabilità di React che consente... -
CERT-AGID 29 novembre – 5 dicembre: phishing a tema... Nel periodo compreso tra il 29 novembre e il 5... -
Dark Telegram in ritirata: aumentano le chiusure dei canali... Dark Telegram, il regno dei canali clandestini, non sembra... -
PickleScan, scoperti tre bug 0-day che permettono di... I ricercatori di JFrog Security Research hanno... -
ShadyPanda: oltre 4 milioni di browser infetti in una... Una campagna durata sette anni che ha infettato 4.3...
Ransomware: la serie
No posts found.