Claudio Tamburrino

Automotive, vulnerabilitÓ senza freno?

Mentre contro Chrysler negli Stati Uniti si tenta di avviare una class action, anche i veicoli Tesla sono stati crackati per esperimento. L'aggiornamento necessario Ŕ stato giÓ distribuito

Roma - L'inserimento di connessioni, sistemi di intrattenimento multimedia e computer di bordo nelle automobili non sembra destinato ad avvenire senza frizioni: i primi problemi sembrano tutti legati alla sicurezza delle tecnologie adottate a bordo e alle garanzie che bisogna offrire a riguardo. Se a farne le spese è stata prima Chrysler, che ha prestato il fianco alle ricerche dei ricercatori informatici e per questo ora minacciata di class action dai consumatori a stelle e strisce, anche Tesla deve fare i conti con gli attacchi alla sua cybersicurezza.

L'attacco ai sistemi informatici delle nuove vetture Tesla è stato presentato ampiamente sul palco del Def Con di Las Vegas, proprio come la scoperta della vulnerabilità dei veicoli Chrysler che ha tanto attirato l'attenzione sulle vetture FCA nonché sulle possibili implicazioni sull'intero settore, anche se altri episodi erano già stati ampiamente documentati.

Ad essere oggetto delle prove di attacco di due ricercatori, Kevin Mahaffey della società di sicurezza Lookout, e Marc Rogers di CloudFlare, è stata la Tesla Model S: i due hanno verificato che collegando un portatile ai cavi di rete posti dietro al computer di bordo installato dal lato del passeggero potevano, tramite un comando software, sfruttare sei diverse vulnerabilità, accendere la macchina e guidarla, ed hanno inoltre dimostrato di poter installare un trojan per spegnere il motore da remoto senza esservi collegati. Infine, hanno scoperto che il sistema informatico montato sulle auto era animato da un software non aggiornato, che ospitava una nota vulnerabilità di Apple Webkit individuata e corretta già da quattro anni e che in via teorica permette l'hacking della vettura anche solo da remoto, un attacco che tuttavia loro non hanno sperimentato.
Come nel caso Chrysler anche Tesla è stata avvertita per tempo e, prima che i ricercatori presentassero i loro risultati, l'azienda aveva già approntato una patch che tappasse le falle. Tesla, peraltro, è dotata già di un sistema per la distribuzione regolare di aggiornamenti software, per cui l'operazione dovrebbe essersi svolta senza intoppi grazie ad update over-the-air.

Nonostante questo, e per quanto non si possa parlare di una minaccia informatica tout court in quanto vi è bisogno dell'accesso diretto alla vettura, poi, la scoperta della vulnerabilità sulle nuove auto Tesla conferma alcuni dei timori avanzati dagli osservatori, che l'informatica e la connessione a bordo dei veicoli permettono di offrire nuovi servizi ma aprono anche a nuove minacce, anche se più sofisticate: le auto del futuro si potranno sabotare e saranno oggetto di furto proprio come quelle basate sulla meccanica. Ed in più, con i possibili sviluppi e le interconnessioni, potranno eventualmente essere attaccate anche da remoto.

Anche per questo negli Stati Uniti si sta cercando di aprire subito il dialogo (guidato dai senatori Ed Markey e Richard Blum) presso il Congresso per stabilire in via normativa standard di sicurezza per la sicurezza informatica del settore.

Sullo sfondo, resta l'esperienza di FCA, che nonostante abbia per tempo divulgato la patch per correggere le vulnerabilità scoperte dai ricercatori sulle Jeep Cherokee vendute negli Stati Uniti, ha scoperto che non è così facile aggiornare i computer di bordo delle vetture vendute se non si ha già predisposto un sistema di aggiornamento software ad hoc e quindi, ormai a qualche settimana dalla divulgazione della correzione della vulnerabilità, è stata comunque costretta a richiamare in officina le vetture coinvolte, 1,4 milioni di macchine.

Anche per questo ora Chrysler rischia una grossa causa legare: a denunciare Fiat Chrysler Automobiles e Harman International, produttore del sistema di bordo Uconnect, sono per il momento solo tre titolari di Jeep Cherokee, che hanno fatto richiesta dello status di class action.

Claudio Tamburrino
Notizie collegate
  • TecnologiaSicurezza, come sbanda l'automotiveEsperti di sicurezza presenteranno al Def Con il loro rapporto sulle minacce che incombono con le automobili connesse: nel loro esperimento hanno giÓ cyberattaccato una Jeep Cherokee. Il legislatore statunitense giÓ corre ai ripari
  • SicurezzaAutomotive, l'hacking passa per i segnali radioEnnesimo allarme sui rischi connessi alle auto "troppo" intelligenti, sistemi aperti ai quattro venti e attaccabili anche tramite il segnale delle stazioni radio. Un attacco anonimo, potenzialmente sfruttabile anche in serie
  • SicurezzaAutomobili GM, hacking a mezzo appAutomotive ancora sulla graticola con un nuovo caso di attacco a mezzo gadget "intelligenti", con le vittima che questa volta sono General Motors e i proprietari di autovetture controllate tramite smartphone
5 Commenti alla Notizia Automotive, vulnerabilitÓ senza freno?
Ordina
  • Comunque temo che tu non abbia poi tutti i torti, usano l'informatica come una lavatrice. ma non è così...
    non+autenticato
  • Questi non capiranno mai.
    Se gli mostrano come si buca un modello, minimizzano, fanno l'aggiornamento dell'auto (ROTFL, scendere e risalire, prego) e pensano che sia tutto ok.
    Se verrà colpito qualcuno 'ah, c'è l'hacker cattivo, ma mica succede a tutti'

    Quindi se si vuole convincere il mondo che il loro sistema è intrinsecamente sbagliato bisogna:
    1) evitare di comunicare gli 0day
    2) automatizzarli
    3) fare in modo che nello stesso istante, tipo 10 milioni di veicoli facciano qualcosa di percepibile dall'utente come un pericolo ma non realmente pericoloso per lo stesso. per esempio portare il conducente, ora mero passeggero, presso il vulcano più vicino e fargli vedere com'è divertente girare con la macchina piegata su due ruote attorno alla bocca del cratere.
    4) al termine formattare a basso livello il firmware dell'auto (così per l'aggiornamento gli tocca andare dal produttore - a piedi)
    5) mandare messaggio ai media: "i produttori vi diranno che ora risolvono il problema con un aggiornamento, ma noi abbiamo già 10 altri modi per fare la stessa cosa e loro non sanno quali, lo rifaremo più volte.
    non+autenticato
  • E anche così non saranno convinti (vedasi windoze) continueranno a comprare e ruzzolare nel cratere.
    Più che lasciare in panne la yorktown (CG-48) davanti a Cape Charles cosa dovevano fare?
    non+autenticato
  • Sollecitare meno il marasma dei tutti comodi perché è una falsificazione pura.
    non+autenticato
  • - Scritto da: ...
    > Questi non capiranno mai.
    > Se gli mostrano come si buca un modello,
    > minimizzano, fanno l'aggiornamento dell'auto
    > (ROTFL, scendere e risalire, prego) e pensano che
    > sia tutto
    > ok.

    Loro vogliono solo un modello che faccia presa sul pubblico con le nuove feature,il loro obiettivo è vendere,il resto non gliene importa.

    > Se verrà colpito qualcuno 'ah, c'è l'hacker
    > cattivo, ma mica succede a
    > tutti'

    Certi episodi saranno sempre più frequenti,è la scelta che c'è a monte che è sbagliata.
    Almeno in questo caso devi avere l'accesso finico all'auto,però in questo caso chi ti vieta di rompere il finestrino,inserire il cavo e rubarla ?

    > 3) fare in modo che nello stesso istante, tipo 10
    > milioni di veicoli facciano qualcosa di
    > percepibile dall'utente come un pericolo ma non
    > realmente pericoloso per lo stesso. per esempio
    > portare il conducente, ora mero passeggero,
    > presso il vulcano più vicino e fargli vedere
    > com'è divertente girare con la macchina piegata
    > su due ruote attorno alla bocca del
    > cratere.

    Questa cosa non la potrai mai fare,se ti prendono vieni imprigionato per terrorismo,tanto ormai lo citano ogni 3X2

    > 4) al termine formattare a basso livello il
    > firmware dell'auto (così per l'aggiornamento gli
    > tocca andare dal produttore - a
    > piedi)

    Questa sarebbe un'opzione,ma tanto non cambia nulla,la gente ormai è totalmente succube del consumismo,sarebbe solo un fastidio e poi rinizia da capo.

    > 5) mandare messaggio ai media: "i produttori vi
    > diranno che ora risolvono il problema con un
    > aggiornamento, ma noi abbiamo già 10 altri modi
    > per fare la stessa cosa e loro non sanno quali,
    > lo rifaremo più
    > volte.

    come sopra.
    non+autenticato