Sempre più forgiate per tutelare la privacy e la sicurezza, le nuove tecnologie non sono esenti da bug e vulnerabilità che possono essere sfruttate per compromettere dati sensibili e mettere a rischio la fiducia degli utenti. Proprio come è accaduto al portale web di una nota casa automobilistica che, proprio a causa di un bug, avrebbe reso pubbliche le informazioni dei clienti e dei loro veicoli, permettendo di sbloccarle anche a distanza: a dichiararlo a TechCrunch è Eaton Zveare, ricercatore in sicurezza presso l’azienda di distribuzione di software Harness, che ha portato alla luce la falla.
Sebbene la vulnerabilità in questione non sia stata semplice da individuare, una volta scovata permetteva ai malintenzionati di creare un account come amministratore spianando la strada a svolgere una serie di attività, anche pericolose, per la sicurezza degli utenti: la porzione di codice difettosa, poiché caricata direttamente nel browser dell’utente malintenzionato, poteva essere modificata a piacimento così da aggirare i controlli di sicurezza e consentire la creazione di un nuovo account con privilegi illimitati.
Un esempio concreto
Zveare ha prelevato il numero di telaio del veicolo dal parabrezza di un’auto ferma in un parcheggio pubblico ed è riuscito, utilizzando solo questa informazione, a risalire a tutti i dati del proprietario registrati presso la casa automobilistica – ma lo stesso poteva essere fatto anche solo conoscendo il nome e cognome del proprietario.
Inoltre, accedendo al portale sfruttando il bug era possibile associare un veicolo a un account mobile quindi ricorrere a funzioni disponibili tramite app come, ad esempio, la possibilità di aprire le portiere a distanza: “Per i miei scopi, ho semplicemente trovato un amico che ha acconsentito a farmi prendere in consegna la sua auto, e ho accettato. Ma il portale potrebbe praticamente permetterlo a chiunque, semplicemente conoscendone il nome oppure semplicemente cercando un’auto nei parcheggi” afferma il ricercatore.
Non è chiaro se il bug permettesse anche di avviare l’auto, tuttavia il solo fatto di potersi introdurre nell’abitacolo esponeva già il veicolo al furto di oggetti personali. Inoltre, la fonte non ha reso noto il nome della casa automobilistica coinvolta, pur trattandosi di un marchio molto conosciuto con numerosi sottomarchi.
Dopo la segnalazione del ricercatore risalente allo scorso febbraio, il produttore in questione è intervenuto per risolvere la vulnerabilità precisando di non essere riuscito a trovare prove di un utilizzo illecito precedente, lasciando così intendere che Eaton Zveare sia stato il primo a scoprirle.
