Ipertecnologiche, connesse e… vulnerabili. L’iniezione di componenti hi-tech nelle automobili di nuova generazione rischia di accompagnarsi a un incremento delle vulnerabilità che prendono di mira la loro stessa sicurezza. L’ennesima dimostrazione arriva dai ricercatori di COSIC dell’università belga KU Leuven, che hanno mostrato come rubare una Tesla Model S in pochi secondi, senza che il legittimo proprietario se ne accorga.
La chiave clonata
Una precisazione: il problema è oggi risolto. L’azienda di Elon Musk ha implementato un sistema di crittografia più solido per le vetture uscite dall’impianto di produzione dal mese di giugno in poi e coloro in possesso di un modello realizzato in precedenza possono ricorrere a un aggiornamento software così da mettersi al sicuro. Il filmato in streaming di seguito mostra quanto fosse semplice clonare virtualmente la chiave per l’accesso al veicolo, disponendo di un’apparecchiatura dal costo complessivo di circa 600 dollari: una scheda Raspberry Pi, due antenne, batterie e un drive portatile per il salvataggio dei dati.
La clip mostra l’intera sequenza: il proprietario della vettura la parcheggia in prossimità di una colonnina per effettuare la ricarica delle batterie a bordo e si allontana nell’attesa. Il malintenzionato la raggiunge con l’apparecchiatura e ne ottiene il codice identificativo, poi senza farsi notare fa altrettanto avvicinando l’antenna alla chiave, presumibilmente tenuta in tasca dalla malcapitata vittima. Tornato al veicolo è in possesso di tutto ciò di cui necessita per aprire la portiera, salire a bordo e avviare la Model S.
Il punto debole è stato individuato nel sistema di crittografia a 40-bit impiegato da Tesla per proteggere i codici di accesso all’auto, troppo semplice da mettere in ginocchio essendo in possesso del codice giusto, ottenuto dai ricercatori analizzando a fondo le informazioni relative a un’accoppiata chiave-auto nel corso di uno studio durato nove mesi. Al fine di mettere al sicuro i propri clienti, l’azienda nel mese scorso ha anche implementato un’opzione che consente di richiedere l’inserimento di un PIN sul touchscreen nell’abitacolo per avviare il motore, un po’ come avviene per lo sblocco del display su un qualsiasi smartphone.
La vulnerabilità è stata dettagliata solo ora da KU Leuven, in occasione dell’evento CHES (Conference on Cryptographic Hardware and Embedded Systems) in scena ad Amsterdam. Il team, dopo averla scoperta nell’agosto 2017, l’ha immediatamente segnalata al produttore affinché potesse verificarla e intervenire con un fix.
Non solo Tesla
Tesla non è l’unica azienda nel mondo delle quattro ruote a utilizzare la tecnologia in questione (prodotta da Pektron) per gestire l’accesso all’abitacolo delle vetture. Lo stesso fornitore ha accordi con McLaren, Karma e Triumph, dunque non è da escludere che un simile problema riguardi anche altri brand.