David Colombo. Credit: Bloomberg. |
Ultimo aggiornamento: 2022/02/04 11:30.
Un diciannovenne tedesco, David Colombo, ha fatto prendere uno spavento a tanti possessori di auto elettriche Tesla: ha dichiarato pubblicamente, pochi giorni fa, di essere riuscito a prendere il controllo remoto di una ventina di queste automobili, che come tante auto moderne sono costantemente connesse a Internet.
So, I now have full remote control of over 20 Tesla’s in 10 countries and there seems to be no way to find the owners and report it to them…
— David Colombo (@david_colombo_) January 10, 2022
Ha detto di aver fatto sbloccare le loro portiere, abbassare i finestrini, suonare il clacson. Colombo ha anche affermato di essere riuscito ad accedere a molti dati personali dei proprietari di questi veicoli e ad attivare la funzione di guida senza chiave, quella che consente di condurre il veicolo anche se il guidatore non ha con sé la speciale chiave o tessera elettronica che sblocca l’auto.
Ma niente panico: David Colombo si è comportato in maniera responsabile e non ha divulgato al mondo i dettagli della sua tecnica. Però li ha comunicati a Tesla e soprattutto ai gestori di TeslaMate, che è una popolare app di telemetria, realizzata da privati non associati a Tesla. Infatti la falla non era nel software originale di Tesla, ma nell’app non ufficiale (TeslaMate), che non custodiva correttamente le chiavi digitali dei proprietari che si affidavano all’app e in particolare non proteggeva adeguatamente la cosiddetta API Key.
Dopo che Tesla e TeslaMate hanno corretto l’errore che aveva consentito a
Colombo di prendere il controllo delle auto, il giovane informatico ha
pubblicato
il metodo di intrusione che aveva utilizzato, spiegando che le auto erano
vulnerabili soltanto se i proprietari usavano l’app TeslaMate. Tutti quelli
che usavano soltanto l’app ufficiale di Tesla non erano a rischio. Colombo ha
ribadito
che la colpa della vulnerabilità era principalmente degli utenti incauti.
Gli errori dell’app non ufficiale, comunque, erano piuttosto grossi: il pannello di controllo dell’app consentiva l’accesso anonimo e l’uso di password predefinite che molti utenti non cambiavano. Quando Colombo si è accorto della situazione, ha avviato una scansione di tutta Internet alla ricerca di pannelli di controllo di TeslaMate accessibili da remoto e ne ha trovati parecchi nel Regno Unito, in Europa (Germania, Belgio, Finlandia, Danimarca, Italia, Irlanda, Francia, Austria e Svizzera), in Canada, in Cina e negli Stati Uniti.
A quel punto il suo problema principale è diventato quello di allertare i proprietari senza violare la loro sicurezza, ma si è dovuto arrendere di fronte all’impossibilità di farlo in troppi casi. E così ha pubblicato la sua generica segnalazione iniziale.
Sia Tesla, sia TeslaMate hanno reagito molto rapidamente, correggendo il problema nel giro di poche ore, ma episodi come questo sottolineano la delicatezza dei veicoli connessi a Internet di qualunque marca: se non vengono adottati standard elevati di sicurezza e se non si educano gli utenti ad essere altrettanto diligenti nell’uso delle password e di app non ufficiali, incidenti come questo capiteranno ancora.
Siate prudenti e, se avete un’auto iperconnessa o comunque comandabile da remoto, custodite la sua password con la stessa attenzione con la quale custodite le sue chiavi. La gestione remota è una grande comodità, ma comporta anche nuove abitudini di sicurezza.
Fonti: David Colombo (comunicazione personale), TechCrunch, Bloomberg, Business Insider.
Nessun commento:
Posta un commento
Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.