Cerca nel blog

2010/05/16

Aiuto, mi hanno craccato l’auto: Come prendere il controllo di un'automobile via software. Freni compresi

Un gruppo di ricercatori del dipartimento d'informatica della University of Washington e della University of California San Diego ha pubblicato una ricerca che spiega come si può prendere il controllo di qualunque automobile moderna dotata di sistemi elettronici per la gestione del veicolo. 

La ricerca, intitolata "Experimental Security Analysis of a Modern Automobile", ha dimostrato che si può utilizzare la porta diagnostica OBD-II (la sigla sta per OnBoard Diagnostics), presente per legge in tutte le automobili statunitensi e in quelle europee recenti, per "ignorare completamente i comandi del conducente" e "disabilitare i freni, far frenare selettivamente a comando le singole ruote, fermare il motore, e così via". Se la cosa non vi ha messo abbastanza i brividi, i ricercatori aggiungono che sono stati in grado di "impiantare del codice ostile nell'unità telematica di un'automobile" in un modo che "cancella completamente ogni prova della sua presenza dopo un incidente". I complottisti di Lady Diana esulteranno.

Come si fa? La maggior parte degli attacchi realizzati concretamente dai ricercatori su automobili di produzione in condizioni reali (su circuiti stradali sicuri) richiede che l'aggressore abbia accesso fisico all'interno dell'auto e possa connettere degli apparecchi alla porta OBD-II (mostrata nella foto qui accanto, da Wikipedia). Cosa peraltro facile: immaginate di affidare la vostra auto a un parcheggiatore o a un riparatore o a un semplice installatore di autoradio. 

Ma c'è una sottoclasse di attacchi, secondo i ricercatori, che può essere realizzata anche senza accedere fisicamente all'automobile, tramite i vari ricevitori senza fili presenti nelle auto moderne. Inoltre è facile concepire un dispositivo radiocomandato connesso alla porta OBD-II, come in effetti hanno fatto i ricercatori, riuscendo a spegnere tutte le luci dell'auto-cavia mentre era in moto: immaginate l'effetto che può avere uno scherzetto di questo genere di notte su una strada non illuminata. Non vedreste più la strada e non sareste visibili fino all'ultimo istante agli altri conducenti. Chi vi segue non vedrebbe accendersi le vostre luci di frenata, con conseguente rischio di tamponamento. E qualora doveste sopravvivere all'incidente, giustificarvi di fronte all'assicuratore o al tribunale dicendo che vi hanno craccato l'automobile sarebbe difficile e rischierebbe di sfociare in prolungate sessioni di terapia psichiatrica.

I ricercatori statunitensi si sono divertiti a creare anche una dimostrazione di "autodistruzione": usando il loro software, denominato Carshark, sul cruscotto compare un conto alla rovescia di 60 secondi, accompagnato da ticchettii di cadenza crescente e dal suono del clacson negli ultimi secondi. Poi si spegne il motore e si bloccano le porte. A discrezione è possibile inoltre attivare di colpo i freni o rilasciarli. 

Qui accanto vedete una demo di tachimetro craccato: indica 140 miglia orarie (225 km/h) nonostante il cambio dell'auto sia in modalità Park e riporta un messaggio scelto dagli aggressori (Pwned by CarShark - CARSHARKED X_X). 

Certo, i ricercatori hanno fatto tutto questo per mettere in luce l'approccio carente alla sicurezza informatica attuale nelle automobili e stimolare i costruttori a valutare più attentamente questo aspetto, e dicono che non c'è motivo di allarmarsi perché a loro non risulta che questi attacchi vengano usati. Ma altri potrebbero non essere così altruisti e sistemi come OnStar della General Motors già adesso permettono di sbloccare a distanza un'auto o di fermarne il motore in caso di furto. Non so voi, ma io vado a comperarmi una Dune Buggy.

Fonti aggiuntive: New York Times.

Nessun commento: