skip to main | skip to sidebar
16 commenti

Tesla “hackerate da remoto”? Non proprio

Questo articolo vi arriva gratuitamente grazie alle donazioni dei lettori ed è stato aggiornato estesamente dopo la pubblicazione iniziale del 2016/09/20. Se vi piace, potete farne una per incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/09/21 21:55.


In breve


Sono a corto di tempo, per cui scrivo giusto due righe per evitare che si diffondano bufale: sì, gli esperti di Keen Security Lab hanno pubblicato un video nel quale sembrano mostrare un attacco informatico nel quale prendono il controllo da remoto di una Tesla Model S, per esempio aprendone le portiere e il bagagliaio, comandandone gli schermi del cruscotto e riuscendo addirittura a far frenare l’auto di colpo mentre è in movimento.

Spettacolare, certo, ma non è un vero e proprio “hackeraggio da remoto”: serve infatti comunque la collaborazione attiva del conducente, che deve connettere l’auto a una specifica rete Wi-Fi (cosa che non succede mentre si è in giro), per cui non si tratta di una tecnica che consente di prendere facilmente il controllo a distanza di un’auto Tesla qualsiasi.

Molte testate giornalistiche che stanno raccontando la scoperta omettono di precisare questo particolare, forse per incompetenza o forse per pompare la notizia: fra quelle che ho visto fin qui fa felice eccezione The Verge.

Tecnicamente è un risultato notevole, comunque, rispetto agli attacchi precedenti che richiedevano lo smontaggio del cruscotto, e sottolinea il problema di fondo di tutte le auto interconnesse: il rischio che la connessione sia sfruttabile per sabotarle. Questa vulnerabilità è già stata risolta con un aggiornamento software (versione 7.1 release 2.36.31) diffuso automaticamente a tutte le Tesla.

Spero di potervi raccontare tutti i dettagli nelle prossime ore.



In dettaglio


L’articolo originale di Keen Security Lab (che fa parte del colosso cinese Tencent) è decisamente reticente: la cosa più interessante che dice è che l’attacco compromette il CAN bus, il sistema che controlla molti dei componenti essenziali dell’auto.

Altri articoli, per esempio su Ars Technica e il già citato The Verge, spiegano qualche dettaglio in più: l’attacco realizzato da Keen sfrutta un bug nel browser della Tesla. Questo bug richiede che l’auto sia connessa a un hotspot Wi-Fi ostile e che contemporaneamente il conducente effettui la ricerca della stazione di ricarica più vicina tramite il pannello di comando centrale dell’auto.

The Verge pubblica una conferma inviata da Tesla, che dice appunto che “Il problema dimostrato viene innescato soltanto quando viene usato il browser web e inoltre richiede che l’auto sia fisicamente vicina a un hotspot Wi-Fi ostile e sia connessa ad esso” e aggiunge che i ricercatori di Keen, avendo agito responsabilmente (contattando Tesla senza pubblicare i dettagli della vulnerabilità), riceveranno una ricompensa secondo i parametri del programma bug bounty (ricompensa per i bug scovati) introdotto da Tesla per incoraggiare questo tipo di ricerca.

Stefano, di Teslaforum.it, mi spiega che nell’uso normale una Tesla si collega a una rete Wi-Fi soltanto in due situazioni: quando è a casa del proprietario (l’auto ha il GPS e quindi “sa” sempre dove si trova e si collega al Wi-Fi del proprietario) e quando si trova presso un centro di assistenza Tesla (nel qual caso si collega al Wi-Fi del centro di assistenza). A parte queste due occasioni, mi dice Stefano, l’auto di norma resta collegata tramite la connessione cellulare 3/4G integrata (e inclusa nel prezzo) e l’unica operazione che si può fare solo via Wi-Fi è l'aggiornamento delle mappe.

In pratica, quindi, l’attacco descritto da Keen è realizzabile soltanto in condizioni decisamente insolite e richiede la collaborazione coordinata di una persona a bordo dell’auto, per cui non si può definire remoto in senso stretto e non è certo automatico o sfruttabile su vasta scala. Si tratta comunque di una vulnerabilità importante, per cui è bene che sia stata scoperta e risolta.

La parte più interessante (e preoccupante) è la compromissione del controllo dei freni: la tecnica effettivamente usata è tutta da confermare, ma un altro utente di Teslaforum.it, Div@h, sottolinea che tutti gli effetti mostrati nel video sono ottenibili comandando appositamente il pannello comandi (la MCU o Media Control Unit, in pratica l’“iPaddone” centrale), e che esiste una funzione di frenata d’emergenza attivabile tramite questa MCU, per cui non è da escludere che l’attacco non abbia realmente preso il controllo del cuore informatico dell’auto (il CAN bus, appunto) ma abbia raggiunto soltanto (si fa per dire) il pannello comandi, che in realtà è indipendente e fortemente isolato dalle funzioni centrali. Se così fosse, l’attacco sarebbe molto meno grave di quel che sembra a prima vista.

Paradossalmente, la risoluzione rapida del difetto mostra che il punto debole delle auto connesse (la connessione dati, appunto) è anche il punto di forza che consente di rimediare alle falle diffondendo immediatamente a tutte le auto un aggiornamento correttivo.


Fonti aggiuntive: The Hacker News, Electrek.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (16)
(cosa che non succede mentre si è in giro)
Boh, non ci scommetterei.

Abito in un condominio al quarto piano, la mia WiFi non arriva ai garage. Farei tethering con il telefono, quindi anche quando sono in giro...
Paolo, ho l'impressione che quando si parla di Tesla tu abbia molta più tolleranza rispetto alle altre situazioni simili.
Sullo spazzolino elettrico ti lanci in strali polemici, con la Tesla minimizzi...
Camicius,

la Tesla non si aggancia a un Wi-Fi qualunque che trova in giro. Si aggancia solo al tuo Wi-Fi di casa e a quello dei concessionari Tesla.
Luca,

Paolo, ho l'impressione che quando si parla di Tesla tu abbia molta più tolleranza rispetto alle altre situazioni simili.

Ho molta passione per innovazioni straordinarie e trasformanti come quelle di Tesla, ma cerco di restare obiettivo. L'utilità di uno spazzolino Bluetooth con indicatore di assetto è piuttosto discutibile; l'utilità di un'auto a) elettrica con autonomia paragonabile a un'auto a benzina, quindi realmente usabile b) aggiornabile OTA, è enorme, tanto che anche altri produttori di automobili stanno cercando di fare quello che fa Tesla (e chi non lo fa si trova con costi enormi per il richiamo in officina). L'auto interconnessa offre vantaggi reali ed enormi; lo spazzolino interconnesso no.

Inoltre non sto sminuendo la portata di questa vulnerabilità: cerco di descriverne la reale pericolosità, tenendo presente che si tratta di un'auto e quindi di un oggetto che può fare danni gravissimi a cose e persone.
Deve essere sulla stessa rete di chi attacca o basta che si in rete, quindi il guidatore con il telefonino in tasca che fa tethering/hot spot per il sistema della macchina?
Nel secondo caso non mi sembra un caso improbabile.
la Tesla non si aggancia a un Wi-Fi qualunque che trova in giro. Si aggancia solo al tuo Wi-Fi di casa e a quello dei concessionari Tesla.
Se il mio WiFi di casa non è raggiungibile dalla strada, il mio WiFi di casa *È* il tethering con il telefono che ho configurato per il primo aggiornamento e che, magari, ho dimenticato attivo, oppure ho attivato per fare tethering con qualche altro dispositivo (tipo il navigatore satellitare oppure il telefono della morosa che ha finito i GB).

Dal video non sembra servire altro che l'auto sia collegata a Internet. Non so se ci sono altri dettagli che è necessario sapere, però questa cosa è preoccupante. E tanto.


Tra l'altro poco più di un anno fa prendevi in giro FCA perché (cito testuali parole)

Ebbene sì: adesso bisogna scaricare e installare gli aggiornamenti anche nelle auto.

cosa che invece consideri un punto di vantaggio per la Tesla.

Non solo ma, sempre in quell'articolo davi degli incoscienti ai progettisti di FCA perché avevano collegato il sistema UConnect a internet e questo alla centralina dell'auto. Tesla invece collega direttamente la centralina dell'auto a internet, anche quando è in marcia, e questa è una scelta intelligente (o comunque non è criticata).


Non riesco proprio a capire qual è la differenza tra le due situazioni.
Camicius,

Se il mio WiFi di casa non è raggiungibile dalla strada, il mio WiFi di casa *È* il tethering con il telefono

Per quel che ne so, questo non sarebbe un problema: hai detto alla Tesla che l'SSID del tuo tethering è sicuro e lei si può collegare solo a quell'SSID.


Dal video non sembra servire altro che l'auto sia collegata a Internet.

Non è così semplice, per fortuna. Lo scrivo nell'approfondimento nelle prossime ore.


prendevi in giro FCA

In realtà non prendevo in giro FCA: notavo quanto è surreale il fatto in generale di avere auto con software da aggiornare e che le auto di oggi siano dei datacenter su ruote.


cosa che invece consideri un punto di vantaggio per la Tesla.

Sì, perché l'implementazione è totalmente diversa. FCA chiede agli utenti di usare il proprio computer per scaricare un software, metterlo su una loro chiavetta USB ed eseguire la procedura di aggiornamento (oppure portare l'auto in officina), cosa che molti automobilisti non sono in grado di fare (e comunque non faranno perché è una scocciatura). Questo crea vulnerabilità notevoli: il computer è infetto? La chiavetta è pulita? Il sito dal quale viene scaricato il software è quello autentico?

Tesla, invece, mostra sul display centrale che è disponibile un aggiornamento, chiede se e quando scaricarlo, lo scarica usando la propria connessione cellulare e lo installa. Tutto qui. Ambiente chiuso, interazione utente minima, meno punti di vulnerabilità.


davi degli incoscienti ai progettisti di FCA perché avevano collegato il sistema UConnect a internet e questo alla centralina dell'auto

Esatto. E' un errore di architettura fondamentale. Infotainment e sistemi vitali non devono interagire. Nelle Tesla c'è una separazione netta di questi due sistemi, con validazione incrociata dei comandi ricevuti.


Tesla invece collega direttamente la centralina dell'auto a internet, anche quando è in marcia, e questa è una scelta intelligente (o comunque non è criticata).

Non l'ho criticata perché finora è risultata implementata in modo molto sicuro (ti consiglio la lezione fatta in DEFCON) e soprattutto non era una connessione usata solo dall'infotainment: serviva e serve per la telemetria, l'assistenza e gli aggiornamenti.

Un conto è connettere a Internet un'auto solo per avere Spotify o fornire il Wi-Fi ai passeggeri; un altro è consentire manutenzione, controllo, telemetria e aggiornamenti.
Più passa il tempo più è evidente che usi due pesi e due misure. Una volta non eri cosi' Paolo. Devi essere inflessibile per tutto!
Copiare SSID e accettare qualunque password è BANALE, la sicurezza non può essere "si collega solo alla rete di casa", stiamo scherzando? Lasciare accesso al CAN dell'auto è praticamente consegnare l'auto ad uno sconosciuto per strada!
Se la falla è stata scoperta, ben venga, magari la correzione evita che possa capitare anche via 3G. Comunque io non direi che "tanto prende il controllo solo del pannello dei comandi"... Non mi pare poco.

A me stesso cose però continuano a sembrare troppo complesse e poco utili per un'auto. Tesla deve giustificare il prezzo riempiendo l'auto di gadget, e a un certo punto ci sta, però la reale utilità ad oggi non la vedo.
Sicuramente se vediamo una vettura che ci sta attaccata dietro ci dobbiamo preoccupare?
Quello che abbiamo visto nel video è che loro erano nella macchina e comunque non credo che chi si trovi a bordo
della Tesla ami fare questi giochini mettendo a repentaglio la propria vita,io spero che questo non accada nel mio Taxi
poi quando si muove qualcosa e quel qualcosa è una Tesla,tutti col dito puntato.
complimenti per l'articolo e prima di sparlare di Tesla i giornalisti dovrebbero cercate di leggere anche i Forum e documentarsi per toccare con mano questa stupenda VETTURA,GRAZIE
Ciskje,

Non mi sembra di essere parziale o di concedere sconti. Considera che affiderò la vita della mia famiglia e la mia a una Tesla, che ho già prenotato, per cui la realtà della sicurezza informatica delle auto connesse e delle Tesla in particolare mi sta molto a cuore. Al tempo stesso, noto che c'è una tendenza a gonfiare gli allarmi intorno a queste auto, anche da parte dei ricercatori di sicurezza in cerca di notorietà, per cui vorrei fare chiarezza. Tutto qui.
Ciskje,

Copiare SSID e accettare qualunque password è BANALE

Dove ti risulta che una Tesla accetti qualunque password?


la sicurezza non può essere "si collega solo alla rete di casa"

Dipende come ci si collega. Se si verificano SSID e password (e magari geolocalizzazione e MAC address e certificati digitali), e se comunque la connessione viene usata come tunnel per andare solo ai server di Tesla (o di Google, per le mappe), è un altro paio di maniche.


stiamo scherzando? Lasciare accesso al CAN dell'auto

Come forse avrai letto negli aggiornamenti, non è chiaro se questo accesso al CAN c'è realmente stato.
Il Lupo,

la reale utilità ad oggi non la vedo

Semplice: la possibilità di aggiornare il software dell'auto permette a un'auto del 2014 di essere dotata delle stesse funzioni (non solo gadget, ma efficienza aumentata e prestazioni potenziate) di un'auto che lascia oggi la catena di montaggio.

Se c'è un difetto, spesso lo si può correggere via software OTA al volo (come in questo caso); senza aggiornamento via software OTA, una correzione ha costi altissimi e una diffusione drasticamente minore.
Questo commento è stato eliminato dall'autore.
Quello che sta facendo Tesla è simile a quanto ha fatto Apple col primo iPhone, all'epoca si comprava il cellulare ed era un prodotto immutabile nel tempo, le funzioni implementate erano quelle definite dal costruttore e se si voleva qualche funzione diversa o implementata diversamente bisognava cambiare il cellulare, con l'phone tutto è cambiato, inizialmente non poteva nemmeno inviare gli SMS poi col passare degli anni le funzioni sono diventate centinaia e sono arrivate le applicazioni di terze parti, con la Tesla il software dell'automobile non è più immutabile come avviene ora, gli aggiornamenti software delle auto normali si fanno praticamente solo in officina e se uno ha una macchina fuori garanzia magari l'officina autorizzata non la frequenta più, viene aggiornato in tempo reale migliorando la sicurezza ed aggiungendo nuove funzioni. Finché Tesla garantirà la sicurezza dei suoi server di problemi non dovrebbero essercene, l'importante è che continuino a spendere in sicurezza informatica e fisica.
Da quello che ho letto il caso dell'Uconnect FCA (bug accessibile da remoto da chiunque) e' molto piu' grave di quello della Tesla (visto che richiede un intervento umano e una rete di cui si ha' il pieno controllo).

Comunque presupporre che l'aggiornamento OTA sia piu' sicuro di quello da chiavetta USB, per il mezzo adottato e' imprudente.

La sicurezza e' data dal meccanismi di firma dell'aggiornamento per esempio tipo le e-mail certificate, firmate, ecc. .

Per intendersi, la sicurezza e' basata su un sistema di chiave privata e pubblica, e un meccanismo di checksum, riconosciuto e accettato dal sistema che deve essere aggiornato.

Se cade uno dei pilastri, non c'e' mezzo di aggiornamento che tenga.


P.S. Buona nuova avventura.