Punti chiave
Il Gps auto è nato per tenere traccia degli spostamenti di una macchina e per aiutare il ritrovamento in caso di furto. Ma come ogni oggetto tecnologico l’uso può essere forzato per scopi non utili all’utente.
Questo è il caso dei Gps costruiti e forniti alle case automobilistiche da iTrack e Protrack. Ricercatori di sicurezza sono riusciti tramite tecniche non troppo complicate a prendere possesso del Gps da remoto, raccogliere tutti i dati del possessore dell’auto, email, indirizzo di casa ed altre informazioni ma soprattutto se l’auto è ferma, in fila o comunque viaggia a meno di 20km/h può essere spenta e bloccata.
In pratica il Gps diventa il nemico numero uno per la nostra automobile.
GPS Hack: come è fatto
Secondo L & M, l’exploit di queste app che gestiscono il Gps riguarda principalmente password predefinite deboli e una funzione integrata integrata dai produttori.
La maggior parte di queste app di tracciamento GPS viene fornita con la password predefinita ” 123456 ” e la maggior parte delle volte gli utenti non la modificano. Dopo aver controllato ciò, i ricercatori hanno provato milioni di nomi utente nel sistema di login mantenendo la password come “123456”.
Sono stati in grado di entrare con successo in un numero di account elevatissimo e hanno ricevuto informazioni complete sulla posizione dell’utente.
Secondo uno screenshot e la conferma di Concox, il cui hardware è utilizzato da Protrack e iTrack, il motore dell’auto può essere spento da remoto.
Qual è la vulnerabilità?
L’hardware utilizzato in ProTrack è prodotto da un’azienda cinese, la iTryBandTechnology, mentre iTrack è prodotto da SEEWORLD, anch’essa con sede in Cina. La capacità di spegnere il motore dell’auto è incorporata nell’hardware dai produttori stessi. Inoltre, le app non informano i propri utenti sulle loro password deboli quando accedono per la prima volta.
Nell’app iTrack non c’erano avvisi che ci dicevano che la password è debole. D’altra parte, nell’app ProTrack, siamo stati immediatamente informati che la nostra password è a rischio.
Fermo restando che la password è rimasta ancora quella. Centinaia, migliaia di utenti non prenderanno provvedimenti per la loro password e tutto rimarrà ancora vulnerabile.
Con l’aumento esponenziale di auto gestite da sistemi informatici remoti il furto di auto o, ancora peggio, l’esposizione di informazioni chiave sulla nostra posizione sono in netta salita.
E’ in pericolo anche la tua casa
Qual è il pericolo correlato a questo hack? Ovviamente il furto dell’auto, ma ancora di più il rilevamento della tua posizione. Mettiamo che un ladro entri nel tuo Gps e veda che sei a Napoli, mentre tu ovviamente risiedi a Milano, cosa che può sapere dai dati inseriti nel sistema. Il passo successivo è il furto nella tua abitazione che sarà sicuramente vuota.
L’utilizzo dei sistemi integrati e soprattutto IoT stanno dando gravissimi segnali di debolezza, ma nessuno li sta ascoltando.