Tutti i prezzi sono validi al momento della pubblicazione. Se fai click o acquisti qualcosa, potremmo ricevere un compenso.

Come ti hackero anche il Segway

20 Luglio 2017 24

Se un dispositivo è connesso, c'è il ragionevole rischio che possa essere in qualche modo violato e controllato da remoto. E' una regola non scritta, ma ribadita da esempi concreti che diventano tanto più numerosi quanto più cresce il numero dei cosiddetti oggetti smart. Un'ulteriore dimostrazione dell'assunto è stata recentemente offerta da IOActive, società che si occupa di sicurezza informatica e che ha messo in evidenza le vulnerabilità del Segway/Ninebot MiniPro sfruttabile mediante la connessione Bluetooth del mezzo.

Per chi non conosce il prodotto, si ricorda che il Mini Pro può essere controllato tramite un'apposita app per smartphone con il quale dialoga sfruttando la connessione Bluetooth. IOACtive fa riferimento ad un rischio critico determinato da una vulnerabilità che, se sfruttata, consentirebbe all'hacker di:

bypassare il sistema di sicurezza e prendere il controllo remoto del dispositivo, compresa la possibilità di cambiare impostazioni, la velocità o anche disattivare il motore e determinare una fermata improvvisa o inaspettata mentre il pilota è in movimento


Ad occuparsi della ricerca è stato Thomas Kilbride, che ha analizzato per otto mesi applicazioni mobile e i firmware alla ricerca della vulnerabilità. Una volta trovata, l'esperto è stato in grado di sviluppare un aggiornamento firmware del sistema di controllo del Segway che non richiede identificazione e di modificare il firmware del controller per rimuovere l'identificazione del conducente.

Utilizzando il reverse engineering e l'analisi del protocollo, sono riuscito a scoprire una serie di minacce per la sicurezza abbastanza preoccupanti. Ad esempio ho stabilito che i conducenti venivano indicizzati utilizzando il GPS dei loro smartphone. Quindi, la posizione di ciascun conducente era consultabile pubblicamente, e gli hoverboard avrebbero potuto essere trovati, tracciati, hackerati e controllati a loro insaputa

Il pericolo, nell'immediato, è stato contenuto dalla pronta risposta dell'azienda produttrice del veicolo. IOActive ha infatti comunicato le vulnerabilità a Segway/Ninebot che ha successivamente rilasciato una nuova versione del firmware per correggere alcuni dei problemi evidenziati. L'aspetto degno di nota della vicenda riguarda però ulteriori considerazioni formulate da Kilbride che, a ben riflettere, potrebbero essere estese ad un maggior numero di veicoli controllati a distanza (pensiamo ai droni):

La normativa FTC richiede che gli scooter soddisfino determinate specifiche meccaniche ed elettriche per evitare incendi della batteria e vari guasti meccanici. Tuttavia non esistono normative incentrate sull'integrità e la convalida del firmware, nonostante siano parte integrante del sistema di sicurezza.

Si tratta di una falla normativa che andrebbe colmata, alla luce della gravità pericoli determinati dalla violazione dei sistemi di sicurezza di quelli che sono a tutti gli effetti mezzi di trasporto. Nel frattempo, le case produttrici potrebbero mitigare i rischi, si legge nello studio, prevedendo un sistema per la verifica dell'integrità del firmware, comunicazioni crittografate e sistemi di autenticazione tramite PIN.

La ricerca in forma estesa può essere consultata collegandosi a questo indirizzo.


24

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Redi

tua mamma è inutile

MadeinItaly

Legalità a parte sono degli aggeggi totalmente inutili

Mattia Righetti

Non hai capito il senso, se vai su internet trovi gente che su quel coso si fa del male senza bisogno di hacker, fanno tutto da soli! Non intendevo che qualcuno li fa fuori su ordine ahaha

a'ndre 'ci

tra l'altro ricordiamo che sono illegali su strade pubbliche, parchi etc....

takaya todoroki

"anche perché la gente si ammazza senza neanche il bisogno degli hacker su quegli aggeggi."

non sequitur da manuale.
addio.

Mattia Righetti

Chiaro, sicuramente adesso non si metteranno ad hackerare ogni singolo Segway sulla terra anche perché la gente si ammazza senza neanche il bisogno degli hacker su quegli aggeggi.

takaya todoroki

Magari tu vivi nel villaggio dei puffi dove tutti sono bravi e buoni.
Io vivo nel mondo reale dove le vulnerabilità vengono vendute al miglior offerente che le sfrutterà per spiare, guadagnare soldi illecitamente, o danneggiare cose e persone.
ci sono notizie ogni singolo giorno di attacchi di questo tipo.

Mattia Righetti

Adesso non è che c'è un hacker su ogni angolo della strada pronto a farti fuori eh! Questo intendo! È tre giorni consecutivi che si parla solo di hackers. È allarmismo per la gente stupida

qandrav

"Oggi è il contrario e i risultati si vedono."

si indubbiamente (purtroppo)

MadeinItaly

Compratevi una bici piuttosto scansa fatiche, vi fa bene pedalare sia al portafogli che alla salute

takaya todoroki

dove lo vedi il complotto?
C'è un bug
C'è gente in grado di sfruttarlo.
Se questa gente sarà motivata, lo farà.
Qual è il tuo problema riguardo a queste cose così sempilci?

takaya todoroki

il punto è che deve esserci una progettazione della sicurezza prima e della funzionalità poi.
Oggi è il contrario e i risultati si vedono.

Lo 0-day ci sarà sempre, ma non sarebbe facile da trovare come in questi casi, se si partisse dal principio di sicurezza, e soprattutto, il produttore deve essere obbligato a fornire patch in tempi brevi e per una durata congrua rispetto alla vita media del tipo di prodotto

takaya todoroki

come al solito bisognerà aspettare i morti, oppure che venga preso di mira qualche politico prima che ci si svegli con normative adeguate...

qandrav

"Tuttavia non esistono normative incentrate sull'integrità e la convalida
del firmware, nonostante siano parte integrante del sistema di
sicurezza. "

questa frase non ha alcun senso logico. una qualsiasi vuln 0day farebbe saltare tutto il principio. Si possono seguire best practice e company ma aiutano al 99.9%.

"verifica dell'integrità del firmware, comunicazioni crittografate e sistemi di autenticazione tramite PIN."
si si tutte bellissime cose ma se un dispositivo riceve input esterni sarà sempre e comunque a rischio.

Poi certo alcuni errori sono imperdonabili e risolvibili usando un minimo di raziocinio (esempio jeep che permetteva il controllo remoto della Cherokee perché per risparmiare non hanno usato separazione fisica dei collegamenti interni dell'auto...folli)

FedEx

In arrivo su WATCH_DOGS 3

Mattia Righetti

Da quando HDblog è così complottista? Hacker ovunque

Pdor, figlio di Kmer

Felk

Segway... La via per la s3ga

Marco Cancian

Ma perchè devono collegare anche le cose più semplici alle app o a internet?
Te la vai a cercare a tutti i costi...
A cosa serve? Tipo per il tracking della strada che fai?

sassi

https://uploads.disquscdn.c...

ciro

Il ninebot è controllabile da app

Gaston3®

https://uploads.disquscdn.c...

Marco Cancian

Ma sti cosi non vanno solo con i vari sensori? hanno anche controller wireless?

Felix

"Come ti hackero anche il Segway"
https://uploads.disquscdn.c...

Recensione e Riprova Google Pixel Buds Pro, rinate con l'aggiornamento

24H con Oppo Find N2 Flip, la sfida a Samsung è servita | VIDEO

Abbiamo provato i nuovi Galaxy Z Fold4 e Z Flip4, ecco le novità! | VIDEO

Copertura 5G, a che punto siamo davvero? La nostra esperienza in città