Auto nel mirino degli hacker

Auto che si comandano con uno smartphone, che vanno in rete e che vengono spiate in remoto sono ormai realtà. E questo sta portando alla luce un problema, già ben noto nel campo dei computer, che prima o poi sarebbe toccato anche al mondo dell’automotive: la sicurezza informatica delle vetture. Sono problemi trasversali rispetto alla maggior parte dei produttori. BMW, ad esempio, di recente ha sistemato il bug nel software ConnectedDrive che consentiva a potenziali malintenzionati di sbloccare le serrature dell’auto. Il problema è stato scoperto dall’ADAC, il corrispondente tedesco dell’ACI, che ha identificato una falla di sicurezza nella piattaforma BMW che consentiva di forzare il sistema di autenticazione e accedere a funzionalità come l’apertura remota delle portiere. Monaco è subito corsa ai ripari aggiornando il proprio software, tramite la SIM integrata nelle auto, e ha precisato di non essere a conoscenza di alcun caso di effettiva violazione. BEN PIÙ PREOCCUPANTE il problema scoperto nel sistema operativo delle vetture Chrysler negli USA: con una connessione wireless era possibile sfruttare un difetto del sistema UConnect, che negli Stati uniti integra una SIM dell’operatore Sprint. Due ricercatori, hanno mostrato a un giornalista di Wired quanto possa essere pericolosa un’auto connessa, nello specifico una Jeep Cherokee, se non è ben protetta contro gli attacchi informatici. Hanno prima preso il controllo di alcuni elementi come il climatizzatore, l’impianto stereo e il pannello touch, e infine operato sulla trasmissione, sui freni e lo sterzo (in retromarcia) con un rischio potenzialmente altissimo di causare incidenti. Poiché non è possibile aggiornare il sistema da remoto, sono stati quindi richiamati quasi 1,4 milioni di veicoli di diverse marche appartenenti al gruppo. NEANCHE aziende apparentemente all’avanguardia come Tesla sono immuni dal problema: alla conferenza Def Con, la più grande convention annuale sull’hacking che si tiene ogni anno a Las Vegas, è stata mostrata la possibilità di entrare nel sistema di infotainment della Model S e forzare l’auto a rallentare o addirittura a fermarsi completamente. In questo caso, il produttore è stato avvisato in anticipo e ha potuto correggere il software con un aggiornamento prima che la scoperta diventasse di dominio pubblico. Molti costruttori hanno dovuto poi fare i conti con un problema legato alle proprie chiavi d’accensione. Queste, com’è noto, integrano infatti un dispositivo, chiamato trasponder, che dialoga con l’immobilizer montato sulle auto e, inviati e quelli ricevuti, impedisce l’avviamento del motore. Questo è il motivo per cui fare una copia delle chiavi dell’auto può costare anche centinaia di euro. Il problema è stato scoperto addirittura nel 2012 in Olanda e risiede nel trasponder prodotto dalla Megamos, utilizzato da moltissime case automobilistiche. Di fatto il trasponder usa solo una parte dei codici a disposizione, e questo consente di impiegare meno di 30 minuti per avviare l’auto senza manomettere nulla. Megamos ha risolto il problema nei propri trasponder più recenti, ma rimangono milioni di auto circolanti tutt’ora esposte al problema. I LADRI D’AUTO ci sono sempre stati, adesso utilizzano strumenti diversi. L’aspetto più preoccupante è che l’utente finale non si rende conto dei pericoli, ad esempio quelli legati alla privacy. È troppo semplice sapere dove siamo e dove siamo stati. Non sono considerazioni valide solo per coprire eventuali scappatelle, ma far sapere che siamo in viaggio lontano da casa o che la macchina è ferma in un parcheggio non è certo una buona pratica. Per quanto riguarda la sicurezza del software di controllo ci si deve chiedere cosa succederà quando le strade saranno invase da auto connesse, magari a guida autonoma: un bug in un sito web che espone i dati degli utenti registrati è già grave, ma in questo caso ci sono bug che possono costare la vita.  

La soluzione? Un antivirus

La sicurezza dei sistemi informatici dei veicoli si espande oltre i confini fisici del mezzo, è possibile intervenire ad esempio sull’account legato al proprietario o sullo smartphone utilizzato per le funzioni più evolute. Le tecnologie di comunicazione utilizzate offrono grandi vantaggi, ma portano con sé anche una nuova categoria di rischi ai quali gli automobilisti non sono abituati, perché un tempo, semplicemente, non esistevano. Kaspersky, società russa specializzata in antivirus e software legati alla sicurezza, studia con grande interesse l’evolversi della situazione. “Le moderne auto sono composte in media da 40 computer basati su QNX (basato a sua volta su Unix), in rete tra loro, e ognuno si occupa di una funzione specifica. Il sistema di infotainment o la possibilità di connessione al web sono soltanto due di queste.” Ci ha raccontato Alexander Moiseev, Managing Director Kaspersky Lab Europe. “Ogni macchina ha una media di 3-4 connessioni potenzialmente vulnerabili, dalla SIM telefonica integrata, alla connessione Bluetooth, fino al sistema di aggiornamento della mappe. L’aspetto Connected car rappresenta solo l’interfaccia utente, ma i pericoli possono essere diversi. Oggi i rischi più evidenti sono legati alla privacy: è semplicissimo vedere online tutti i tutti gli spostamenti del veicolo.” L’idea di un “antivirus per le auto” non è poi così remota, ma ovviamente sono necessarie soluzioni diverse rispetto a quelle che conosciamo per il mondo dei computer. Nel frattempo Kaspersky ha identificato quattro punti cruciali a cui dovremmo ben presto tutti prestare attenzione. Credenziali: è possibile rubare le credenziali necessarie per accedere al sito web di registrazione con mezzi noti come phishing, keylogger o social engineering (ingegneria sociale), o può semplicemente può capitare di smarrire il proprio PC. Questo permette l’accesso alle informazioni degli utenti e quindi al veicolo stesso. Un malintenzionato potrebbe installare una app sul proprio smartphone con le stesse credenziali del proprietario, abilitare servizi remoti ancor prima di aprire la macchina e sapere sempre dove si trova il veicolo. Applicazioni: attivando i servizi di apertura a distanza, si crea in pratica un nuovo set di chiavi per l’auto. Se l’applicazione dello smartphone non è sicura (con l’utilizzo di password criptate), chi ruba il telefono può avere accesso al veicolo. Potrebbe quindi bastare un telefono rubato per bypassare qualsiasi autenticazione tramite PIN, rendendo più facile per un cyber-criminale l’attivazione da remoto. Aggiornamenti: gli aggiornamenti delle applicazioni e del sistema di infotainment intervengono sulla struttura stessa del sistema. Alcuni produttori utilizzano per questi aggiornamenti semplici chiavette USB e file non crittografati o firmati. Questi file, includono inoltre numerose informazioni sui sistemi interni in esecuzione sul veicolo. Comunicazioni: Alcune funzioni comunicano con la SIM all’interno del veicolo tramite SMS. L’inserimento all’interno di questo canale di comunicazione permette di inviare istruzioni “false”. Nel caso peggiore, un criminale potrebbe sostituire le comunicazioni della casa madre con le proprie istruzioni e servizi. Questo scenario apre a diversi interrogativi legati alla responsabilità di tutti gli interpreti coinvolti: Se qualche hacker dovesse riuscire a impadronirsi del vostro smartphone, di chi sarà la responsabilità in caso di furto dell’auto? E nel caso qualcuno riuscisse a leggere le credenziali di autenticazione dal vostro computer? Le case automobilistiche non possono essere certo considerate responsabili in questo caso, ma se il problema derivasse da un difetto del software, del produttore dello smartphone o del sito Web di accredito? A chi spetta quindi garantire la sicurezza del sistema nel suo complesso? Federico Cociancich