Controllare a distanza le automobili attraverso una app per smartphone può essere comodo, ma è anche motivo di preoccupazione da quando i ricercatori di iSec hanno individuato una falla “strutturale” in questo genere di tecnologia. Il sistema si presta all’abuso con relativa facilità, dicono Don Bailey e Matthew Solnik, e la colpa sarebbe tutta del vecchio network di comunicazione cellulare GSM.
Facendo il reverse engineering della tecnologia GSM e impostando una propria rete “privata” su cui poter monitorare tutte le comunicazioni, dice il duo di ricercatori, è stato possibile recuperare i codici attraverso cui app come OnStar RemoteLink per Android compiono operazioni come lo sblocco della portiera o l’accensione da remoto di un’auto.
Bailey e Solnik hanno chiamato la loro tecnica di attacco “war texting”, e sostengono di poter fare le stesse cose che fanno RemoteLink e questo genere di app senza però aver bisogno di alcuna autorizzazione da parte di chicchessia.
Il rischio del war texting si fa poi estremamente serio se si pensa che la stessa tecnica potrebbe essere impiegata per inviare comandi malevoli ai sistemi SCADA degli impianti industriali e non solo: dopo il worm Stuxnet , un’altra minaccia si profila all’orizzonte per il mondo digitalizzato controllato (attraverso la rete GSM) dai sistemi di controllo numerico nelle fabbriche, nei condomini (ascensori) e in ogni dove.
Bailey e Solnik daranno conto del loro lavoro di ricerca nel corso della prossima conferenza Black Hat di Los Angeles, con un talk dal titolo “War Texting: Identifying and Interacting with Devices on the Telephone Network”.
Alfonso Maruccia