E’ clamorosa la falla dell’app di Hyundai, infatti tramite questa vulnerabilità un hacker può impossessarsi dell’auto.
Un bug dell’applicazione che ora sembra corretto, usava una connessione non sicura per inviare dati alla casa madre. Intercettandola era possibile localizzare l’auto, aprirla ed accenderla.
Le auto troppo “smart” sembrano quindi essere meno sicure, ed i bug informatici sono sempre più presenti.

Hyundai ha dovuto quindi rilasciare un aggiornamento della sua app prima che qualcuno riuscisse ad utilizzare la falla che avrebbe consentito addirittura di rubare l’automobile.

William Hatzer e Arjun Kumar nel blog di Rapid7, spiegano che il problema affliggeva le versioni 3.9.4 e 3.9.5 dell’app di Hyundai. Veniva utilizzato per le comunicazioni con i server, un collegamento HTTP “protetto” con una chiave crittografica fissa (1986l12Ov09e) incorporata nel codice dell’applicazione stessa.

La vulnerabilità era decisamente pericolosa, visto che chiunque sarebbe stato in grado di estrarre la chiave con estrema facilità e ottenere così la possibilità di decodificare le comunicazioni tra l’app e i server di Hyundai.
Dall’app si può accendere l’auto dallo smartphone, opzione decisamente comoda sempre che risulti sicura.
Per un cyber-criminale basterebbe portare un attacco “man in the middle”, o anche uno sniffing all’interno di una rete Wi-Fi non protetta, per impossessarsi di informazioni riservate come l’indirizzo e-mail del proprietario, la password, il PIN e la cronologia dei rilevamenti GPS.
Le informazioni raccolte consentirebbero di geolocalizzare l’auto, aprirla e avviarla.
La vulnerabilità è stata risolta con il rilascio della versione 3.9.6 dell’app disponibile per Android ed iPhone.
Il rischio di attacchi nei confronti degli utenti che dovessero usare una versione non aggiornata di Blue Link è stato mitigato bloccando le comunicazioni TCP verso il server.