Dopo il reportage-esperimento con cui gli esperti di sicurezza Charlie Miller e Chris Valasek hanno messo in luce le cyberinsicurezze dei sistemi informatici delle autovetture connesse di ultima generazione, Chrysler è stata costretta a richiamare 1,4 milioni di macchine a cui deve essere installata la necessaria patch .
Miller e Valasek hanno simulato un attacco informatico proprio ai danni di una Jeep Cherokee, verificando la possibilità di prendere il controllo della radio, del computer di bordo, dell’aria condizionata, dei tergicristalli, sul freno e sull’acceleratore ed in parte del volante del veicolo passando attraverso per la connessione Internet del sistema di intrattenimento dell’automobile Uconnect. A poposito del caso Sergey Lozhkin, Senior Security Researcher del GReAT team di Kaspersky Lab, ha sottolineato che “le vulnerabilità possono essere trovate ovunque ci sia un sistema operativo e applicazioni installate. Due sarebbero i principi di base che dovrebbero essere tenuti in mente dai produttori in fase di progettazione: l’isolamento, che significa che due sistemi separati non possano influenzarsi a vicenda (come avvenuto per esempio nel caso Cherokee, per cui il sistema di intrattenimento è stato il tramite per influenzare il sistema di controllo) ed il controllo delle comunicazioni attraverso crittografia e autenticazione per la trasmissione e ricezione delle informazioni da/per l’auto.
La simulazione di attacco di Miller e Valasek si è svolta nell’ambito della ricerca scientifica, così i due hanno avvisato per tempo Chrysler dandole il tempo di rilasciare una patch prima che fosse diffusa la notizia delle vulnerabilità che andava a tappare. Ciononostante non tutti i proprietari delle autovetture hanno auto modo, tempo, capacità od interesse ad aggiornare il sistema informatico dell’automobile. Per quanto l’interesse dei ricercatori fosse quello di rilevare una minaccia e renderne edotto il produttore prima che fosse sfruttata da malintenzionati, dunque, l’impossibilità di Chrysler di aggiornare automaticamente le automobili ha finito per rendere attuale la minaccia. Come in gran parte dei casi, l’anello debole della sicurezza si sono dimostrati gli utenti, che non aggiornano all’ultima versione i loro sistemi lasciando aperta la via dei malware.
Per cercare di intervenire sulla questione, da ultimo, Chrisler è stata costretta a chiedere ufficialmente a circa 1,4 milioni di autovetture di installare attraverso USB la patch inviata via email o di portare l’auto al proprio concessionario per completare il necessario aggiornamento.
Il tutto con la prospettiva di dover trovare una soluzione per future situazioni simili : se al momento si tratta solo di un imbarazzante inconveniente, legato oltretutto solo alle autovetture vendute in Nord America, per la casa automobilistica una falla del genere e l’incapacità di porvi rimedio in brevissimo tempo potrebbe in futuro generale grandi problemi, soprattutto se, come sembra intenzione delle aziende coinvolte nel settore, all’informatica sarà attribuito un ruolo sempre più predominante all’interno dell’abitacolo.
Nel presente, intanto, il gruppo FCA dovrà pagare una multa di 105 milioni di dollari per non aver posto tempestivamente rimedio al rischio di manomissione informatica dei veicoli dei propri utenti: a vagliare la possibilità e le eventuali responsabilità di Fiat Chrysler è stata la US National Highway Traffic Safety Administration che negli Stati Uniti monitora la sicurezza delle strade.
Claudio Tamburrino