Due ricercatori esperti in materia di sicurezza informatica hanno pubblicato i risultati di un test che farà certamente sobbalzare sulla sedia più di qualcuno. Charlie Miller e Chris Valasek hanno spiegato come sia possibile, con un notebook ed un cellulare, prendere il controllo di una moderna e lussuosa autovettura, da remoto e via Internet, senza l’autorizzazione del proprietario.
Una volta effettuata la connessione remota, è possibile fare di tutto e mettere in campo operazioni potenzialmente molto pericolose per chi è alla guida del veicolo e per i suoi passeggeri.
Il duo Miller-Valasek (nella foto di seguito) ha spiegato che l’aspetto legato alla sicurezza è troppo spesso sottovalutato dalle case automobilistiche. Ne è una testimonianza lo studio pubblicato a questo indirizzo che non descrive, ovviamente, le vulnerabilità presenti nei veicoli presi in esame ma ne analizza la superficie d’attacco ossia spiega quanto una vettura possa essere suscettibile ad attacchi da parte di aggressori terzi.
Più è ampia la superficie d’attacco, più opportunità hanno i malintenzionati di condurre in porto un attacco. A pagina 89 del documento sono riportati marca e modello di diversi veicoli molto diffusi (gli esperti si sono concentrati soprattutto su Audi, Honda, Infiniti, Jeep, Dodge, Chrysler, Ford, Cadillac, BMW, Range Rover e Toyota).
Un test, dai risultati agghiaccianti, è stato condotto – con la collaborazione dei giornalisti della testata d’Oltreoceano Wired – su una Jeep Cherokee prodotta da Fiat Chrysler Automobiles (FCA) ed equipaggiata con il sistema di infotainment Uconnect.
Sfruttando una grave lacuna di sicurezza presente nel software Uconnect, Miller e Valasek hanno dimostrato come sia possibile provocare l’accensione dell’aria condizionata al massimo, accendere la radio a tutto volume ed attivare i tergicristalli in modalità remota e su un veicolo altrui.
Caricando sulla Jeep Cherokee una versione modificata del firmware, gli esperti sono riusciti addirittura a prendere il controllo del motore, girare il volante e disattivare l’impianto frenante da remoto.
Per causare problemi ad altri automobilisti basterebbe semplicemente conoscere la vulnerabilità ed il funzionamento del CAN bus, ossia della rete interna all’automobile. Utilizzando un notebook od uno smartphone è poi possibile effettuare una scansione della Rete alla ricerca degli indirizzi IP delle vetture vulnerabili.
E solo negli Stati Uniti, sempre stando al report di Miller e Valasek, vi sarebbero oltre mezzo milione di autovetture vulnerabili ed attaccabili quindi in modalità remota.
I rischi, evidentemente, sono enormi: ritrovarsi seduti sul posto di guida di una vettura accorgendosi di averne perso il controllo è quanto di più preoccupante e pericoloso possa avvenire.
I due ricercatori, com’è ovvio, stanno tenendo per sé i dettagli tecnici sulle vulnerabilità scoperte perché in gioco c’è la vita delle persone (oltre alla loro privacy, perché è possibile seguire e tracciare tutti gli spostamenti di un veicolo).
Negli Stati Uniti sarà probabilmente approvata una nuova legge che obbligherà le case automobilistiche ad adottare standard di sicurezza ancora più elevati. Nel frattempo, però, secondo Miller e Valasek non vi sarebbe tempo da perdere ed è necessario che tutti i produttori di auto prendano a cuore il problema e corrano al più presto ai ripari.
Sul sito di Fiat Chrysler è stato già pubblicato un aggiornamento software che risolve tutti i problemi di sicurezza ad oggi noti sulla Jeep Cherokee. L’update, comunque, deve essere installato manualmente presso la concessionaria od in proprio utilizzando la connessione USB.
Le foto sono di W.Curtis per Wired e A.Greenberg (Wired).