Auto Hyundai “hackerata”: la chiave privata degli aggiornamenti si trova con Google
Le chiavi di cifratura e di protezione del software della Hyundai Ioniq SEL sono pubblicamente disponibili con una semplice ricerca in Google. Lo ha scoperto Daniel Feldman, un ingegnere informatico di Minneapolis, negli Stati Uniti, che con questa chiave è riuscito a hackerare il sistema di informazione e intrattenimento o infotainment della propria vettura.
Feldman racconta nel proprio blog che la sua auto, un’ibrida del 2021, è dotata di un sistema di infotainment, appunto, che funziona adeguatamente, ma lui voleva vedere se era possibile personalizzarlo, e così ha scoperto che esistono già vari modi non ufficiali, ovviamente ad alto rischio, per entrare nella modalità manutenzione e installare applicazioni. Il sistema, infatti, è basato su Android e quindi accetta quasi qualunque applicazione realizzata per questo sistema operativo. A quanto pare, la password di accesso a questa modalità manutenzione è definita usando una tecnica piuttosto originale: è semplicemente composta dalle quattro cifre dell’ora e del minuto indicati dall’orologio di bordo.
Ma Feldman voleva fare di più: voleva scoprire se era possibile creare degli aggiornamenti personalizzati del firmware, ossia del software di base del sistema di infotainment. Gli aggiornamenti ufficiali, diffusi da Hyundai Mobis, sono distribuiti all’interno di un file ZIP protetto da una password e sono cifrati e anche firmati digitalmente. Sembrerebbe una tripla protezione più che ragionevole, ma purtroppo qualcuno in Hyundai ha commesso una serie di errori davvero imbarazzante.
Per prima cosa, Feldman è riuscito a scavalcare la password del file ZIP e a estrarne i contenuti; i dettagli della tecnica che ha usato sono nel suo blog. Per la cifratura degli aggiornamenti, ha trovato la chiave di decrittazione direttamente nel file ZIP. Due ostacoli su tre erano quindi rimossi.
Ma c’era ancora la firma digitale, ossia la protezione che consente di installare soltanto software che sia stato firmato e garantito usando una chiave segreta in due parti, una pubblica e una privata, nota soltanto ai tecnici di Hyundai Mobis. Senza quella chiave, Feldman era a un punto morto. È qui che ha avuto un’ispirazione molto felice.
Per verificare che nessun altro avesse già ottenuto i suoi stessi risultati, ha provato a cercare in Google la chiave di cifratura che aveva scoperto. E Google gli ha fatto scoprire che la chiave usata da Hyundai era quella usata come esempio nei manuali pubblici di crittografia (come il documento NIST SP800-38A). Era insomma come scoprire che i tecnici di Hyundai Mobis avevano “protetto” (si fa per dire) il proprio software usando la password pippo che si usa sempre nei tutorial e che conoscono tutti.
Ma non è finita qui. Frugando all’interno del software originale, l’ingegnere informatico ha scoperto che quel software conteneva la parte pubblica della chiave di firma digitale. Ispirato dall’errore precedente dei tecnici Hyundai, ha provato a cercare su Google una porzione di questa chiave, e ha scoperto che anche stavolta i tecnici avevano usato una chiave di firma digitale che è presente negli esempi dei tutorial, quelli che spiegano come firmare digitalmente qualunque file. E quei tutorial, ovviamente, includono anche la chiave privata corrispondente.
In altre parole: Hyundai ha usato una chiave privata di firma digitale presa da un tutorial e ha messo la chiave pubblica corrispondente nel proprio software. E così è emerso che tutto il suo castello di protezioni risulta essere fondato sull’argilla, e Feldman è riuscito a installare del software (più precisamente del firmware) scritto da lui sulla propria auto, come descrive in due altri articoli (primo, secondo). Missione compiuta, insomma.
Morale della storia: la sicurezza nel software non è cosa che si improvvisa. I protocolli e gli standard possono essere anche robustissimi e matematicamente inespugnabili, ma l’errore umano, o in questo caso la pigrizia di chi ha usato una chiave di firma digitale presa di peso da un tutorial, è sempre in agguato. Conviene ricordarlo quando qualche azienda, anche al di fuori del settore automobilistico, si vanta di usare i software di crittografia più sofisticati. Se li usa un pasticcione, sforneranno pasticci.
Fonte aggiuntiva: The Register.
Apple iPhone 13 mini (128 GB): occasione irrinunciabile su Amazon
Carta prepagata multivaluta: quale scegliere?
Xiaomi Days su eBay, sconti FOLLI sui prodotti XIAOMI: guardate che prezzi!
Bello, prestante e costa poco: l’OPPO A76 è il più venduto dell’Estate e il best buy del momento
Microsoft Surface Laptop Go: oltre 200 euro di sconto su Amazon, correte
Samsung Galaxy Watch4 Classic LTE: se non te lo compri oggi, non te lo compri più
<div>More connected TV ad buying options in Display & Video 360</div>
As viewers continue to shift from traditional TV to connected TV (CTV), marketers are looking for effective ways to connect with streamers and measure the reach of their campaign across a variety of CTV apps. So we’re introducing new CTV solutions in Display & Video 360 to give you the option to pick the inventory and measurement solutions that work best for you.
First we’re adding audience guarantees based on Nielsen Digital Ad Ratings (DAR) to Display & Video 360 and expanding advanced Programmatic Guaranteed features to more exchanges. Programmatic Guaranteed lets you access top CTV ad placements, combining the best of the direct deal buying experience with the automation and personalization of programmatic. Leading brands like Uber already use this buying technique to secure coveted CTV inventory around high-visibility events while still enjoying the efficiency of programmatic advertising.
Second, we’re making it simpler to buy YouTube CTV and other CTV apps in a consolidated workflow. This will give you a chance to improve your media performance by managing your campaign goals seamlessly across any CTV inventory.
Audience guarantees backed by Nielsen
CTV and video buyers often use Nielsen Digital Ad Ratings as the system of record to understand how many unique viewers they reached within their core audiences and prove campaign impact across digital media platforms. That’s why we’re launching Nielsen audience guarantees across streaming TV and video in Display & Video 360. This will make it easier to plan, buy and measure an entire connected TV upfront in Display & Video 360 in a way that’s comparable to linear TV. Being able to reach your key audiences has been central to effective traditional TV advertising — the same goes for CTV.
When setting up your guaranteed deal, you can now choose a specific age and gender demographic, like adults ages 18 to 49, and pay only for the ad impressions that reach your target audience as measured by Nielsen DAR. This feature works for all types of video campaigns — including for connected TV ads — and comes at no additional cost for advertisers.
Nielsen-based audience guarantees enable Display & Video 360 users to buy inventory programmatically and pay only for impressions that reached their target audience as reported in Digital Ad Ratings.
For now, audience guarantees are available for Programmatic Guaranteed ads running with a set of publishers on Google Ad Manager in the U.S. We look forward to onboarding more publishers and exchanges.
Advanced Programmatic Guaranteed features available for more exchanges
Speaking of expansion, we’re making Google audiences for Programmatic Guaranteed available across a variety of exchanges including Google Ad Manager but also Xandr and Magnite and looking to add more. We’ve already expanded capabilities for you to reach Google audiences on CTV campaigns when bidding on open auction inventory. Google audiences can help drive a higher return on investment by reaching the groups of consumers who are most likely to respond to your message based on Google’s understanding of intent. Now, you can also use Google affinity, in-market and demo segments while buying Programmatic Guaranteed deals across a variety of participating publishers, giving you even more flexibility in your audience strategies for CTV.
For these exchanges, we’re also improving how ad frequency management works for Programmatic Guaranteed deals, helping to enhance the viewing experience for your audiences. Once your campaign frequency goal is reached for certain users, whether via open auction, Programmatic Guaranteed, or a combination of the two, Display & Video 360 now stops showing ads to these users while still prioritizing and delivering the agreed number of impressions from your guaranteed deals.
We’re doubling down on programmatic reservation, particularly in the growing CTV landscape. So managing frequency for Programmatic Guaranteed deals with more exchanges is critical to help us further reduce waste associated with ad overexposure.
Consolidated CTV workflow across YouTube and other CTV apps
For many marketers, simplifying campaign execution for a variety of CTV apps is fundamental to effectively reaching streamers. And Display & Video 360’s capacity to plan, manage ad frequency and measure performance across YouTube and other CTV inventory sources saves them time and money. To help CTV buyers deliver more coordinated ad campaigns, YouTube ads can now be purchased within Display & Video 360’s insertion order dedicated to connected TV ad buying. This simplified workflow features parameters designed specifically for CTV campaigns to help minimize technical blockers that typically limit reach on CTV devices. Because it puts YouTube side-by-side with other top CTV inventory, it also makes it easier to optimize for common goals or control ad frequency across your entire CTV media mix.
Test this integrated workflow and advanced Programmatic Guaranteed capabilities today and combine them with new CTV frequency management solutions in Display & Video 360 to get the most efficient reach out of your CTV deals.
iPhone 12 mini, prendilo oggi o rinuncia: sconto IMPORTANTE per poche ore su Amazon
Doom gira su un trattore per dimostrare la necessità del diritto di riparare
A maggio 2022 ha avuto un forte impatto mediatico la notizia di un furto ingente di trattori in Ucraina, commesso da un gruppo di soldati russi; furto che si era trasformato in una beffa per i ladri. I trattori, infatti, erano stati bloccati e resi inutilizzabili grazie alla loro connessione a Internet. Ne avevo parlatoanch’io in una puntatadi questo podcast. Torno a parlarne perché c’è un seguito.
Pochi giorni fa un informatico australiano che si fa chiamare Sick Codes è riuscito a prendere il pieno controllo degli apparati elettronici di un trattore della John Deere, la stessa marca di quelli rubati e brickati da remoto in Ucraina. Lo ha fatto durante una presentazione alla conferenza internazionale di sicurezza DEF CON 30, tenutasi a Las Vegas, e da buon informatico ha dimostrato il proprio successo facendo girare sull’elettronica del trattore il gioco classico Doom.
Playing Doom on a John Deere tractor display (jailbroken/rooted) at @defcon pic.twitter.com/ih0QUTGNuS
— Sick.Codes (@sickcodes) August 14, 2022
Ovviamente, per fare le cose per bene, la versione di Doom giocata da Sick Codes non è quella di base, ma è appositamente modificata: si svolge in un campo agricolo e bisogna colpire i mostri senza ferire gli animali da fattoria.
Tutto questo può sembrare un colossale esercizio di frivolezza, ma in realtà il fatto che qualcuno sia riuscito a prendere il controllo dell’elettronica di questi sofisticatissimi macchinari agricoli rivela che sono basati su hardware e software fragili e non aggiornati. Dato che dipendiamo dall’agricoltura di precisione realizzata tramite macchine agricole computerizzate di questo genere, questa non è una buona situazione.
Sick Codes non è nuovo a queste dimostrazioni: ad aprile 2021 aveva fatto vedere che era possibile trasmettere dati senza autorizzazione ai trattori della John Deere, che era stata avvisata e aveva chiuso le falle che consentivano questa intrusione. Ma ora l’informatico è tornato alla carica facendo addirittura un jailbreak locale di questi trattori, ossia uno sblocco che consente all’utente di eseguire qualunque software, e la cosa è importante per gli agricoltori, perché scavalca i blocchi che impediscono loro artificialmente di riparare le proprie macchine agricole e li obbligano a dipendere dai concessionari ufficiali. In altre parole, come sugli smartphone, il jailbreak dei trattori ridà ai proprietari il pieno controllo degli apparati che hanno acquistato e consente loro di ripararli o modificarli.
Il diritto di riparare gli oggetti di cui si è proprietari viene spesso ostacolato da protezioni artificiali di questo tipo, ma negli Stati Uniti, in Unione Europea e nel Regno Unito si sta facendo strada una serie di leggi che proteggono questo diritto, e scoperte come quella di Sick Codes sono preziose per documentare il fatto che le giustificazioni presentate dalle aziende per l’esistenza di questi blocchi software non reggono.
Di solito, infatti, le aziende dicono che impedire la riparazione a persone non autorizzate è necessario per tutelare i sofisticati sistemi software installati. Ma Sick Codes ha dimostrato che questi sistemi sono in realtà tutt’altro: alcuni usano Windows CE, altri usano versioni antiche di Linux, e tutto, persino l’intero firmware, gira come root, ossia con pieni permessi di amministratore, e non c’è alcun controllo sulla provenienza del software che viene eseguito, nessuna firma digitale o checksum. In parole povere, i “sofisticati sistemi” vanno contro tutte le regole di sicurezza informatica.
Grazie anche a iniziative come questa insieme alle nuove normative sul diritto di riparare, John Deere ha annunciato a marzo che renderà disponibile ai proprietari delle sue macchine agricole una porzione più consistente del software di riparazione e consentirà ai clienti e ai riparatori esterni di scaricare e installare gli aggiornamenti software ufficiali, invece di obbligare gli agricoltori a portare i mezzi alle officine autorizzate. Perché se può essere una scocciatura trovarsi con un laptop che decide di scaricare e installare i propri aggiornamenti proprio mentre si sta facendo una presentazione o si sta cercando di concludere un lavoro urgente, potete immaginare quanto sia devastante trovarsi con un trattore che non va solo per un problema software mentre il raccolto ottenuto con tanta fatica si sta rovinando sul campo.
Fonti aggiuntive: Ars Technica, The Register, Fierce Electronics.