Automotive, vulnerabilità senza freno?

Mentre contro Chrysler negli Stati Uniti si tenta di avviare una class action, anche i veicoli Tesla sono stati crackati per esperimento. L'aggiornamento necessario è stato già distribuito
Mentre contro Chrysler negli Stati Uniti si tenta di avviare una class action, anche i veicoli Tesla sono stati crackati per esperimento. L'aggiornamento necessario è stato già distribuito

L’inserimento di connessioni, sistemi di intrattenimento multimedia e computer di bordo nelle automobili non sembra destinato ad avvenire senza frizioni: i primi problemi sembrano tutti legati alla sicurezza delle tecnologie adottate a bordo e alle garanzie che bisogna offrire a riguardo. Se a farne le spese è stata prima Chrysler, che ha prestato il fianco alle ricerche dei ricercatori informatici e per questo ora minacciata di class action dai consumatori a stelle e strisce, anche Tesla deve fare i conti con gli attacchi alla sua cybersicurezza.

L’attacco ai sistemi informatici delle nuove vetture Tesla è stato presentato ampiamente sul palco del Def Con di Las Vegas, proprio come la scoperta della vulnerabilità dei veicoli Chrysler che ha tanto attirato l’attenzione sulle vetture FCA nonché sulle possibili implicazioni sull’intero settore, anche se altri episodi erano già stati ampiamente documentati.

Ad essere oggetto delle prove di attacco di due ricercatori, Kevin Mahaffey della società di sicurezza Lookout, e Marc Rogers di CloudFlare, è stata la Tesla Model S: i due hanno verificato che collegando un portatile ai cavi di rete posti dietro al computer di bordo installato dal lato del passeggero potevano, tramite un comando software, sfruttare sei diverse vulnerabilità, accendere la macchina e guidarla, ed hanno inoltre dimostrato di poter installare un trojan per spegnere il motore da remoto senza esservi collegati. Infine, hanno scoperto che il sistema informatico montato sulle auto era animato da un software non aggiornato, che ospitava una nota vulnerabilità di Apple Webkit individuata e corretta già da quattro anni e che in via teorica permette l’hacking della vettura anche solo da remoto, un attacco che tuttavia loro non hanno sperimentato.

Come nel caso Chrysler anche Tesla è stata avvertita per tempo e, prima che i ricercatori presentassero i loro risultati, l’azienda aveva già approntato una patch che tappasse le falle. Tesla, peraltro, è dotata già di un sistema per la distribuzione regolare di aggiornamenti software, per cui l’operazione dovrebbe essersi svolta senza intoppi grazie ad update over-the-air .

Nonostante questo, e per quanto non si possa parlare di una minaccia informatica tout court in quanto vi è bisogno dell’accesso diretto alla vettura, poi, la scoperta della vulnerabilità sulle nuove auto Tesla conferma alcuni dei timori avanzati dagli osservatori, che l’informatica e la connessione a bordo dei veicoli permettono di offrire nuovi servizi ma aprono anche a nuove minacce, anche se più sofisticate: le auto del futuro si potranno sabotare e saranno oggetto di furto proprio come quelle basate sulla meccanica. Ed in più, con i possibili sviluppi e le interconnessioni, potranno eventualmente essere attaccate anche da remoto.

Anche per questo negli Stati Uniti si sta cercando di aprire subito il dialogo (guidato dai senatori Ed Markey e Richard Blum) presso il Congresso per stabilire in via normativa standard di sicurezza per la sicurezza informatica del settore .

Sullo sfondo, resta l’esperienza di FCA, che nonostante abbia per tempo divulgato la patch per correggere le vulnerabilità scoperte dai ricercatori sulle Jeep Cherokee vendute negli Stati Uniti, ha scoperto che non è così facile aggiornare i computer di bordo delle vetture vendute se non si ha già predisposto un sistema di aggiornamento software ad hoc e quindi, ormai a qualche settimana dalla divulgazione della correzione della vulnerabilità, è stata comunque costretta a richiamare in officina le vetture coinvolte, 1,4 milioni di macchine.

Anche per questo ora Chrysler rischia una grossa causa legare: a denunciare Fiat Chrysler Automobiles e Harman International, produttore del sistema di bordo Uconnect, sono per il momento solo tre titolari di Jeep Cherokee, che hanno fatto richiesta dello status di class action.

Claudio Tamburrino

Link copiato negli appunti

Ti potrebbe interessare

Link copiato negli appunti