Localizzatori GPS per veicoli, sicurezza e privacy dei consumatori

Una lezione sull'importanza dell'analisi delle minacce IoT e dei test di sicurezza

Che tu sia un consumatore o un imprenditore, la sicurezza informatica in generale e la sicurezza del localizzatore GPS in particolare stanno diventando sempre più importanti ogni giorno. È una grande preoccupazione. Infatti, in un sondaggio nazionale condotto all'inizio di quest'anno, il 70% dei consumatori ha dichiarato di essere preoccupato che i propri dati personali vengano divulgati alle persone sbagliate. Allo stesso tempo, la maggior parte dei proprietari di veicoli esistenti e futuri sono preoccupati per il furto d'auto, a ragione, a causa di una tendenza all'aumento di auto e camion rubati nell'ultimo anno (un aumento del 9.2% rispetto all'anno precedente, secondo l'FBI).

I concessionari di auto stanno trasformando queste due preoccupazioni in opportunità di business fornendo soluzioni che consentono il recupero rapido dei veicoli rubati per i consumatori, mentre allo stesso tempo gestiscono i loro lotti in modo più efficiente con una maggiore visibilità del loro inventario e generano entrate incrementali per la concessionaria attraverso la vendita di questi dispositivi. Ma non tutte le soluzioni di recupero da furto offrono lo stesso livello di protezione per quanto riguarda i dati dei consumatori e la privacy. 

Tutti i localizzatori GPS proteggono la privacy dei consumatori?

Quando abbiamo studiato le soluzioni di tracciamento basate su GPS comunemente utilizzate nell'industria automobilistica statunitense e le loro caratteristiche di sicurezza, abbiamo scoperto che alcune di esse sono progettate con cura per proteggere i dispositivi e i loro dati dall'hacking, mentre altre hanno poca o nessuna protezione. Perché è importante? Con un localizzatore poco protetto, i ladri potrebbero facilmente trovare la posizione di un'auto, permettendo loro di scoprire dove vive il proprietario, dove lavora e persino dove vanno a scuola i loro figli. E i concessionari di automobili che vendono soluzioni non sicure corrono il rischio di incorrere nell'ira dei loro clienti.

Nel tentativo di ottenere informazioni su alcune delle misure di sicurezza comuni che una soluzione di tracciamento GPS potrebbe avere (o essere gravemente carente), abbiamo deciso di esaminare in modo approfondito due diverse soluzioni di tracciamento: una era una soluzione cablata tradizionale e l'altro una soluzione wireless di nuova generazione, alimentata a batteria. 

La cattiva notizia: soluzione A, il GPS cablato

La soluzione A viene solitamente installata da un tecnico della concessionaria che la collega alla batteria del veicolo. Quando abbiamo esaminato questa soluzione, abbiamo scoperto alcuni risultati scioccanti. Siamo stati in grado di determinare facilmente il numero di telefono utilizzato dal dispositivo per comunicare con la rete cellulare. Potremmo da lì far sì che ci fornisca la sua esatta posizione semplicemente inviandogli un messaggio di testo contenente frasi di comando che abbiamo trovato pubblicate su Internet, che sono stati interpretati come istruzioni. Questo di per sé rappresenta una violazione della privacy dei consumatori e apre le persone a pericoli come stalking, furto e altri crimini. Se il sistema fosse stato progettato pensando alla sicurezza, non saremmo stati in grado di ottenere quell'informazione.

Abbiamo anche scoperto che con ulteriori manipolazioni, è possibile fare in modo che il tracker invii una posizione falsa. Si potrebbe persino disabilitare del tutto il tracker manomettendo da remoto il suo software.

Ciò significa che il proprietario del veicolo e gli agenti di polizia non avrebbero modo di rintracciare l'auto in caso di furto. O, peggio ancora, i ladri potrebbero inviare le autorità a cercare nella direzione sbagliata.  

Per i consumatori che utilizzano dispositivi scarsamente protetti, i problemi associati a queste minacce sono evidenti. Se sei un rivenditore di auto che vende questi dispositivi ai tuoi clienti, rischi di avere cattive pubbliche relazioni, minori entrate, perdita di fiducia e forse anche problemi di responsabilità se una soluzione che hai venduto viene compromessa. 

Tutti questi problemi avrebbero potuto essere prevenuti collaborando con un esperto terzo imparziale per valutare la sicurezza del dispositivo e la soluzione end-to-end al fine di identificare i problemi prima che il prodotto fosse rilasciato, proteggendo le entrate a lungo termine e reputazione del produttore e del suo prodotto.

Ma per fortuna ci sono anche buone notizie!

La buona notizia: la soluzione B, il dispositivo di localizzazione wireless

I nostri test sulla Soluzione B, un dispositivo di localizzazione wireless di nuova generazione, non hanno riscontrato NESSUNA delle stesse debolezze. Ha protetto con successo le informazioni sulla posizione dagli hacker, consentendo solo all'effettivo proprietario del dispositivo di accedere alla posizione della propria auto utilizzando la crittografia avanzata dei dati. Questo dispositivo aveva anche forti protezioni come l'autenticazione dell'utente in atto per garantire che nessuno potesse disabilitare o manomettere il dispositivo da remoto utilizzando download e comandi over-the-air; questo ha assicurato che fosse sempre disponibile a segnalare la corretta posizione del veicolo. Per i consumatori, questo significa che la loro privacy e sicurezza sono protette. Migliora anche le possibilità che riescano a riavere la loro auto più rapidamente in caso di furto. Per i concessionari di automobili, significa clienti soddisfatti e nessun problema di responsabilità da dispositivi compromessi.

Come scegliere quale prodotto acquistare o vendere? 

Che si tratti di un dispositivo GPS o di qualsiasi altro dispositivo IoT, ci sono tre domande chiave che chiunque dovrebbe porsi su qualsiasi dispositivo IoT prima di scegliere di acquistarlo o venderlo: 

• Privacy: Il dispositivo è progettato pensando alla privacy dei dati? I dati sulla posizione sono protetti con la tecnologia di crittografia?
• Protezione: Cosa è stato fatto per proteggere il dispositivo dagli hacker in modo che non possa essere manomesso o disabilitato? I nuovi download del firmware sono firmati e autenticati I comandi remoti sul dispositivo sono autenticati?
• Verifica indipendente: L'azienda che ha progettato il dispositivo utilizza esperti di sicurezza interni o esterni per testare la sicurezza end-to-end della soluzione? 

Hai bisogno di aiuto per assicurarti che la tua soluzione sia sicura?

Non tutte le aziende hanno le competenze interne per raggiungere il livello di sicurezza IoT di cui hanno bisogno (o addirittura identificare quali minacce sono più rilevanti per loro da cui proteggersi). In tal caso, la cosa intelligente da fare è ottenere aiuto da un'azienda esterna specializzata in sicurezza, che può aiutare con attività come la valutazione delle minacce, la progettazione dell'architettura di sicurezza e la valutazione della sicurezza del prodotto finale prima che venga immesso sul mercato. Riparare un difetto di sicurezza dopo il lancio può costare fino a 80 volte di più che rilevare lo stesso difetto mentre si è ancora in fase di progettazione, e questo può fare la differenza tra successo o fallimento per il prodotto e persino per l'azienda.