Dammi l’email che ti rubo la macchina: scoperto un pericoloso bug

Dammi l’email che ti rubo la macchina: scoperto un pericoloso bug

Non sarà affascinante come il fischio con il quale Zorro richiamava a sé il fidato destriero, probabilmente sarà meno epico della formula “apriti sesamo” con cui Ali Babà e i 40 ladroni aprono l’ingresso della caverna segreta, sicuramente non è accessibile quanto la strofinata alla lampada da parte di Aladin per invocare il genio, ma conoscere l’indirizzo email può aprire porte inimmaginabili.

A dir la verità le porte in questione sono, ahinoi, più immaginabili di quanto dovrebbero e prendono le sembianze delle portiere delle automobili. 

La domotica e l’Intelligenza Artificiale amplificano rischi e poteri

Lo diciamo spesso che da grandi poteri derivano grandi responsabilità: la costante interconnessione, data ormai per scontata in qualsiasi contesto, espone a rischi non o poco considerati.

Ai passi da gigante della domotica, non è seguita quella che dovrebbe rappresentare la necessaria e naturale ombra: la privacy.

Un rischio che diventa vero e proprio pericolo dinanzi ai sistemi di Intelligenza Artificiale che raccolgono, utilizzano e archiviano enormi quantità di dati personali senza che l’utente se ne renda effettivamente conto.

Il cybercrime si diffonde: aumenta l’esercito e amplia le tecniche

Lupin era “unico e ineguagliabile” forse un tempo: ora con l’accesso a qualsiasi tipo di informazione e formazione con estrema facilità favorisce la diffusione di ogni tecnica.

Non serve dunque l’audacia di Lupin per arruolarsi nel ben nutrito esercito del cybercrime, che inevitabilmente detta il passo e la strada anche alla cybersecurity, proprio come l’investigatore Zenigata sulle tracce di Arsenio III.

Le chiavi dell’auto vengono sostituite dall’indirizzo mail…altrui

La denuncia di Sam Curry è la spiegazione a tante potenziali denunce di furto auto: lo specialista di Yuga Labs in due tweet (primo e secondo) ha messo in luce la vulnerabilità nelle applicazioni mobili per i veicoli Hyundai e Genesis.

La piattaforma smart car SiriusXM, utilizzata su auto di altri produttori permetteva di sbloccare l’auto da remoto, avviare il motore e compiere altre azioni.

Come riporta Redhotcyber, l’analisi è iniziata con le applicazioni di Hyundai e Genesis che permettono agli utenti di avviare e arrestare il motore da remoto e bloccare e sbloccare i propri veicoli.

Peccato però che la convalida del proprietario dell’auto si basa solo sul suo indirizzo email, incluso nel corpo delle richieste. Addirittura MyHyundai non richiede la conferma dell’indirizzo email in fase di registrazione.

Un gioco da ragazzi impossessarsi di un auto altrui, come testato dagli esperti che hanno creato un nuovo account utilizzando l’indirizzo email del bersaglio con un carattere di controllo aggiuntivo alla fine e inviato una richiesta HTTP all’endpoint Hyundai. 

La richiesta conteneva l’e-mail degli esperti e l’indirizzo della vittima: lo stretto necessario per ottenere la convalida.

Addirittura su Youtube si può trovare lo script Python per automatizzare tutte le fasi dell’attacco, per il quale è sufficiente specificare l’indirizzo e-mail della vittima.

Iscriviti alla Newsletter di UTOPIA.

Iscriviti alla Newsletter per ricevere il Privacy Digest che include un riepilogo bisettimanale degli ultimi articoli del Blog e le ultime novità di UTOPIA.

Iscrizione avvenuta con successo!
Ops! Qualcosa è andato storto. Ricarica la pagina e riprova...
 SCOPRI TUTTE LE NEWS SUL GDPR

Leggi il nostro blog

Unisciti ad altri appassionati di privacy e ricevi subito l’Infografica sull’Accountability documentale, oltre alle novità sul mondo dei dati personali direttamente nella tua e-mail. Una volta al mese, niente SPAM.

Grazie per esserti iscritto alla nostra newsletter.
Presto riceverai una mail con l'Infografica sull'Accountability documentale! 👈🏼
Ops! Qualcosa è anadato storto durante l'invio della richiesta.