Trotinetele electrice pot fi vulnerabile la atacuri de la distanţă
0Trotinetele electrice au devinit în ultimii ani o alternativă populară pentru a călători rapid în marile oraşe de pretutindeni.
Lăsând la o parte comoditatea pe care o oferă, acestea vin, în schimb, cu o serie de riscuri de natură cibernetică şi de confidenţialitate, potrivit unui studiu realizat de Universitatea din Texas la San Antonio (UTSA).
Această evaluare - despre care UTSA a spus că este „prima evaluare a riscurilor de securitate şi confidenţialitate pe care le prezintă scuterele electronice, împreună cu serviciile şi aplicaţiile software dedicate acestora" - prezintă diferite scenarii de atac cu care s-ar putea confrunta persoanele care decid să folosească acest mijloc de transport şi sugerează diferite măsuri de abordare a riscurilor.
Amer Owaida, Security Writer al ESET, explică pe blog cum se produc atacurile şi oferă câteva soluţii.
Multe scutere electronice se bazează pe un mix între reţeaua Bluetooth Low Energy (BLE) şi conexiunea la internet a smartphone-ului călătorului pentru a opera, dar şi pentru a trimite date către furnizorul de servicii. Acest lucru deschide portiţa către potenţiale atacuri. De exemplu, persoanele rău intenţionate ar putea accesa datele transmise, pentru a derula mai departe atacuri de tip Man-in-the-Middle (MitM) sau replay. Drept urmare, în unele cazuri, hackerii ar putea trimite de la distanţă comenzi pentru a prelua controlul asupra scuterului şi a răni călătorul. Un astfel de risc ar fi prezentat un scuter Xiaomi anul trecut.
Bateria unui scuter, motorul, frânele, farurile şi cipul controlerului sunt printre componentele cheie care pot fi vizate în timpul unui atac fizic. Atacatorii pot apoi să schimbe componentele cheie sau să instaleze „module maliţioase”, permiţându-le să controleze scuterul de la distanţă sau să adune informaţii private pe ascuns. Prin manipularea de la distanţă a frânelor şi a acceleraţiei, călătorul sau alte persoane pot fi rănite în mod intenţionat.
Aplicaţiile de ”micro-mobilitate” urmăresc, de obicei, locaţia scuterelor, ceea ce înseamnă că falsificarea locaţiei este un alt lucru de care am putea să ne facem griji. Persoanele rău intenţionate ar putea să se folosească de locaţii retrase pentru a ademeni victimele şi a le face rău sub diverse forme.
Furnizorii de scutere electronice necesită o gamă largă de informaţii de la călătorii care apelează la serviciile lor. De obicei, acestea includ o formă de identificare, împreună cu datele de facturare, de contact şi informaţii demografice. Furnizorii colectează automat date suplimentare, inclusiv locaţia GPS şi informaţii specifice smartphone-ului. Atacatorii cu acces la astfel de date pot crea imagini cuprinzătoare ale obiceiurilor călătorului, locurile pe care le frecventează şi rutele pe care ar putea să le folosească.
Majoritatea riscurilor pot fi atenuate prin implementarea unor practici esenţiale de securitate cibernetică. Angajaţii care încarcă şi întreţin scuterele ar putea verifica componentele mecanice sau electrice pentru a se asigura că nimeni nu a manipulat scuterele. În ceea ce priveşte riscurile legate de confidenţialitate, ar fi recomandat ca furnizorii să meargă pe o abordare de tip privacy-by-design, făcând inaccesibile diferite seturi de date persoanelor neautorizate. În plus, monitorizarea traficului de date ar ajuta furnizorul de servicii să reacţioneze la ameninţări în timp real.