Cerca nel blog

2022/02/03

Informatico prende il controllo di alcune decine di Tesla. Ha sfruttato una falla di un’app non-Tesla

David Colombo.
Credit: Bloomberg.

Ultimo aggiornamento: 2022/02/04 11:30.

Un diciannovenne tedesco, David Colombo, ha fatto prendere uno spavento a tanti possessori di auto elettriche Tesla: ha dichiarato pubblicamente, pochi giorni fa, di essere riuscito a prendere il controllo remoto di una ventina di queste automobili, che come tante auto moderne sono costantemente connesse a Internet. 

Ha detto di aver fatto sbloccare le loro portiere, abbassare i finestrini, suonare il clacson. Colombo ha anche affermato di essere riuscito ad accedere a molti dati personali dei proprietari di questi veicoli e ad attivare la funzione di guida senza chiave, quella che consente di condurre il veicolo anche se il guidatore non ha con sé la speciale chiave o tessera elettronica che sblocca l’auto. 

Una mappa dei viaggi di un utente Tesla in California, acquisita da David Colombo e pubblicata da TechCrunch.

Ma niente panico: David Colombo si è comportato in maniera responsabile e non ha divulgato al mondo i dettagli della sua tecnica. Però li ha comunicati a Tesla e soprattutto ai gestori di TeslaMate, che è una popolare app di telemetria, realizzata da privati non associati a Tesla. Infatti la falla non era nel software originale di Tesla, ma nell’app non ufficiale (TeslaMate), che non custodiva correttamente le chiavi digitali dei proprietari che si affidavano all’app e in particolare non proteggeva adeguatamente la cosiddetta API Key.

Dopo che Tesla e TeslaMate hanno corretto l’errore che aveva consentito a Colombo di prendere il controllo delle auto, il giovane informatico ha pubblicato il metodo di intrusione che aveva utilizzato, spiegando che le auto erano vulnerabili soltanto se i proprietari usavano l’app TeslaMate. Tutti quelli che usavano soltanto l’app ufficiale di Tesla non erano a rischio. Colombo ha ribadito che la colpa della vulnerabilità era principalmente degli utenti incauti.

Gli errori dell’app non ufficiale, comunque, erano piuttosto grossi: il pannello di controllo dell’app consentiva l’accesso anonimo e l’uso di password predefinite che molti utenti non cambiavano.  Quando Colombo si è accorto della situazione, ha avviato una scansione di tutta Internet alla ricerca di pannelli di controllo di TeslaMate accessibili da remoto e ne ha trovati parecchi nel Regno Unito, in Europa (Germania, Belgio, Finlandia, Danimarca, Italia, Irlanda, Francia, Austria e Svizzera), in Canada, in Cina e negli Stati Uniti.

A quel punto il suo problema principale è diventato quello di allertare i proprietari senza violare la loro sicurezza, ma si è dovuto arrendere di fronte all’impossibilità di farlo in troppi casi. E così ha pubblicato la sua generica segnalazione iniziale.

Sia Tesla, sia TeslaMate hanno reagito molto rapidamente, correggendo il problema nel giro di poche ore, ma episodi come questo sottolineano la delicatezza dei veicoli connessi a Internet di qualunque marca: se non vengono adottati standard elevati di sicurezza e se non si educano gli utenti ad essere altrettanto diligenti nell’uso delle password e di app non ufficiali, incidenti come questo capiteranno ancora. 

Siate prudenti e, se avete un’auto iperconnessa o comunque comandabile da remoto, custodite la sua password con la stessa attenzione con la quale custodite le sue chiavi. La gestione remota è una grande comodità, ma comporta anche nuove abitudini di sicurezza.

Fonti: David Colombo (comunicazione personale), TechCrunch, Bloomberg, Business Insider.

Nessun commento: