Gli scooter elettrici stanno diventando costantemente un’alternativa popolare per brevi spostamenti.
Oltre alla praticità, tuttavia, introducono anche una serie di rischi per la sicurezza informatica e la privacy, secondo uno studio dell’Università del Texas a San Antonio (UTSA)
Lo studio che UTSA ha affermato è “la prima revisione dei rischi per la sicurezza e la privacy rappresentati dai monopattini elettrici e dai relativi servizi e applicazioni software ” che delinea vari scenari di attacchi che i monopattinisti potrebbero dover affrontare e suggerisce misure per affrontare i rischi.
Molti monopattini elettrici si basano su una combinazione di Bluetooth Low Energy (BLE) e la connessione Internet per smartphone del conducente per funzionare, nonché per inviare dati al fornitore di servizi.
Questo apre una serie di strade per potenziali attacchi.
Di conseguenza, in alcuni casi gli hacker possono immettere da remoto comandi per assumere il controllo dello scooter e danneggiare il conducente o i pedoni.
In effetti, questo rischio era già stato scoperto in uno degli scooter di Xiaomi l’anno scorso.
Batteria, motore, freni,luci e chip del controller di un monopattino sono tra i componenti chiave che possono essere presi di mira durante un attacco fisico.
Gli aggressori possono quindi sostituire i componenti chiave o installare “moduli dannosi”, consentendo loro di controllare il mezzo da remoto o raccogliere informazioni private di nascosto o manipolando a distanza i freni e l’accelerazione con conseguenze spiacevoli sia al mezzo che al conducente.
I fornitori di monopattini elettrici richiedono una vasta gamma di informazioni dagli utenti che si iscrivono per il loro servizio.
Di solito, questi includono una qualche forma di identificazione, insieme a informazioni di fatturazione, contatto e dati demografici. I provider raccolgono automaticamente dati aggiuntivi, inclusi GPS e informazioni specifiche per smartphone.
TIPI DI ATTACCO
Gli hacker con accesso a tali dati possono carpire le abitudini degli utilizzatori, dei luoghi che frequentano e dei percorsi che potrebbero compiere.
La maggior parte dei rischi può essere mitigata implementando le migliori pratiche di cibersicurezza da parte dei fornitori di servizi.
Gli utenti utilizzano l’app del fornitore per gestire il sistema antifurto, il sistema di controllo automatico della velocità, la modalità Eco e l’aggiornamento del firmware del monopattino elettrico.
Per accedere a tali funzionalità, l’utente può utilizzare un’app dedicata e ogni monopattino è protetto da una password che può essere modificata dall’utente.
Zimperium Lab,azienda che offre soluzioni di sicurezza mobile, ha effettuato dei test e una ricerca e conferma che “abbiamo stabilito che la password non viene utilizzata correttamente come parte del processo di autenticazione con il monopattino elettrico e che tutti i comandi possono essere eseguiti senza la password. La password viene convalidata solo sul lato dell’applicazione, mail monopattino stesso NON tiene traccia dello stato di autenticazione.”
Nel video qui sotto, mostriamo un test che blocca un monopattino elettrico utilizzando l’applicazione dannosa di Zimperium che esegue la scansione degli scooter Xiaomi M365 vicini e li disabilita utilizzando la funzione antifurto del monopattino – senza autenticazione o consenso dell’utente.
SEGUICI anche sui Social :