Cerca nel blog

2015/07/24

Come prendere il controllo di un’auto via Internet

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2015/07/25 19:20.

Credit: Andy Greenberg/Wired
Se siete proprietari di una Jeep della Fiat Chrysler (FCA) e leggete le notizie su Internet probabilmente siete un po' angosciati. L'esperto di sicurezza informatica Charlie Miller ha infatto realizzato una dimostrazione spettacolare della vulnerabilità di questo modello d'automobile agli attacchi informatici a distanza.

Come racconta Wired, anche con un video eloquente, Miller è infatti riuscito dapprima a prendere il controllo dell'aria condizionata della Jeep Cherokee guidata dal giornalista che si era offerto come cavia, poi ha cambiato la stazione radio e ha messo il volume al massimo. I comandi a bordo per abbassare il volume non funzionavano più. Poi si sono accesi i tergicristalli e lo schizzo del lavavetri ha oscurato la vista al conducente.

Non contento, Miller ha fatto comparire sullo schermo digitale dell'automobile la propria immagine insieme a quella del collega Chris Valasek. Fatto questo, ha disabilitato l'acceleratore e poi i freni, per cui i pedali non avevano più effetto. Uno scenario da incubo per qualunque automobilista. E tutto questo è stato possibile senza che l'informatico toccasse l'auto o vi si avvicinasse: l'intero attacco è avvenuto via Internet. E a questo punto l'incubo ce l'hanno le case automobilistiche, che per anni hanno ignorato gli avvertimenti degli esperti e hanno trasformato le auto in computer su ruote senza pensare alle implicazioni di sicurezza. L'idea che ci sia un sistema di controllo remoto di sistemi vitali come i freni o l'acceleratore è pura pazzia.

Tutto questo è possibile perché è stata fatta un'altra scelta tecnica di rara incoscienza: il ricco sistema di intrattenimento di bordo, battezzato Uconnect, è collegato al sistema di guida dell'auto. Consente di gestire la radio, le telefonate cellulari e persino un accesso Wi-Fi. Miller ha approfittato di un elemento della connessione cellulare che per ora, responsabilmente, non ha identificato pubblicamente ma che è facilmente intuibile: per attaccare un'auto dotata di questo sistema gli basta conoscere l'indirizzo IP della vettura. I dettagli verranno resi pubblici prossimamente in una conferenza a Las Vegas e sono già stati forniti mesi fa alla casa automobilistica, che ha predisposto un aggiornamento di sicurezza.

Ebbene sì: adesso bisogna scaricare e installare gli aggiornamenti anche nelle auto.

Per evitare inquietudini inutili, va precisato che sono affette da questa vulnerabilità soltanto le auto dotate del sistema Uconnect vendute negli Stati Uniti, quindi quelle acquistate in Europa non dovrebbero avere problemi. Ma resta l'interrogativo di fondo: quante altre case automobilistiche hanno commesso lo stesso incredibile errore di progettazione? Se Charlie Miller non avesse scoperto il difetto, la casa automobilistica lo avrebbe trovato? E se non fosse stata organizzata una dimostrazione discutibile ma spettacolare, FCA sarebbe intervenuta prontamente?

La sicurezza informatica delle nostre automobili è stata presa incredibilmente sottogamba da parte di tutto il settore automobilistico. Ora, finalmente, questa dimostrazione renderà un po' più consapevoli del problema.


Aggiornamento (2015/07/24 20:00): FCA ha pubblicato un comunicato con alcuni dettagli di marche e modelli coinvolti e con istruzioni su come rimediare al problema. Sono coinvolti circa 1,4 milioni di veicoli, tutti venduti negli Stati Uniti e dotati di radio con touchscreen da 8,4 pollici: Ram 1500 Pickup 2013-2014, Ram 3500 Cab Chassis 2013-2014, Ram 2500 Pickup 2013-2014, Ram 4500/5500 Cab Chassis 2013-2014, Ram 3500 Pickup 2013-2014, Grand Cherokee 2014, Durango 2014, Viper 2013-2014, Cherokee 2014 e alcune Chryslier 200 del 2015.

Nessun commento: