Automotive, vulnerabilità senza freno?

Mentre contro Chrysler negli Stati Uniti si tenta di avviare una class action, anche i veicoli Tesla sono stati crackati per esperimento. L'aggiornamento necessario è stato già distribuito

Roma – L’inserimento di connessioni, sistemi di intrattenimento multimedia e computer di bordo nelle automobili non sembra destinato ad avvenire senza frizioni: i primi problemi sembrano tutti legati alla sicurezza delle tecnologie adottate a bordo e alle garanzie che bisogna offrire a riguardo. Se a farne le spese è stata prima Chrysler, che ha prestato il fianco alle ricerche dei ricercatori informatici e per questo ora minacciata di class action dai consumatori a stelle e strisce, anche Tesla deve fare i conti con gli attacchi alla sua cybersicurezza.

L’attacco ai sistemi informatici delle nuove vetture Tesla è stato presentato ampiamente sul palco del Def Con di Las Vegas, proprio come la scoperta della vulnerabilità dei veicoli Chrysler che ha tanto attirato l’attenzione sulle vetture FCA nonché sulle possibili implicazioni sull’intero settore, anche se altri episodi erano già stati ampiamente documentati.

Ad essere oggetto delle prove di attacco di due ricercatori, Kevin Mahaffey della società di sicurezza Lookout, e Marc Rogers di CloudFlare, è stata la Tesla Model S: i due hanno verificato che collegando un portatile ai cavi di rete posti dietro al computer di bordo installato dal lato del passeggero potevano, tramite un comando software, sfruttare sei diverse vulnerabilità, accendere la macchina e guidarla, ed hanno inoltre dimostrato di poter installare un trojan per spegnere il motore da remoto senza esservi collegati. Infine, hanno scoperto che il sistema informatico montato sulle auto era animato da un software non aggiornato, che ospitava una nota vulnerabilità di Apple Webkit individuata e corretta già da quattro anni e che in via teorica permette l’hacking della vettura anche solo da remoto, un attacco che tuttavia loro non hanno sperimentato.

Come nel caso Chrysler anche Tesla è stata avvertita per tempo e, prima che i ricercatori presentassero i loro risultati, l’azienda aveva già approntato una patch che tappasse le falle. Tesla, peraltro, è dotata già di un sistema per la distribuzione regolare di aggiornamenti software, per cui l’operazione dovrebbe essersi svolta senza intoppi grazie ad update over-the-air .

Nonostante questo, e per quanto non si possa parlare di una minaccia informatica tout court in quanto vi è bisogno dell’accesso diretto alla vettura, poi, la scoperta della vulnerabilità sulle nuove auto Tesla conferma alcuni dei timori avanzati dagli osservatori, che l’informatica e la connessione a bordo dei veicoli permettono di offrire nuovi servizi ma aprono anche a nuove minacce, anche se più sofisticate: le auto del futuro si potranno sabotare e saranno oggetto di furto proprio come quelle basate sulla meccanica. Ed in più, con i possibili sviluppi e le interconnessioni, potranno eventualmente essere attaccate anche da remoto.

Anche per questo negli Stati Uniti si sta cercando di aprire subito il dialogo (guidato dai senatori Ed Markey e Richard Blum) presso il Congresso per stabilire in via normativa standard di sicurezza per la sicurezza informatica del settore .

Sullo sfondo, resta l’esperienza di FCA, che nonostante abbia per tempo divulgato la patch per correggere le vulnerabilità scoperte dai ricercatori sulle Jeep Cherokee vendute negli Stati Uniti, ha scoperto che non è così facile aggiornare i computer di bordo delle vetture vendute se non si ha già predisposto un sistema di aggiornamento software ad hoc e quindi, ormai a qualche settimana dalla divulgazione della correzione della vulnerabilità, è stata comunque costretta a richiamare in officina le vetture coinvolte, 1,4 milioni di macchine.

Anche per questo ora Chrysler rischia una grossa causa legare: a denunciare Fiat Chrysler Automobiles e Harman International, produttore del sistema di bordo Uconnect, sono per il momento solo tre titolari di Jeep Cherokee, che hanno fatto richiesta dello status di class action.

Claudio Tamburrino

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Scacciatrol l di PI scrive:
    Che fine ha fatto il cretino Etype?
    Sì, proprio lui, lo scemo del sito che viene sempre asfaltato e perculato da tutti. Sto annoiato, sarebbe divertente percularlo, a lui poi gli piace. Ha preso tutto dalla mamma che si prostituisce sulla tuscolana. (rotfl)
  • Scacciatrol l di PI scrive:
    Che fine ha fatto il cretino Etype?
    Sì, proprio lui, lo scemo del sito, quello che viene sempre asfaltato e perculato da tutti e sembra pure divertirsi. Me 'sto ad annoià, percularlo un pochino sarebbe stato divertente. (rotfl)
  • ScacciaTrol l di PI scrive:
    Etype evaporato
    Etype non si fa vedere? Il XXXXXne di PI ha rimediato sufficienti asfaltature negli ultimi tempi? Peccato, percularlo per bene era un hobby rilassante per tutti gli altri utenti (rotfl)
  • Puffo informatic o scrive:
    Colabrodo
    Come prendere un sistema operativo sicuro come linux e ridurlo ad un colabrodo da dei pubblicitari
  • fenotipo scrive:
    non ho capito
    ma è come il virus albanese che me lo devo installare io per consentire all'hacker di fare quello che vuole sul mio dispositivo o stanno parlando di qualcos'altro?
    • Scorigghia scrive:
      Re: non ho capito
      - Scritto da: fenotipo
      ma è come il virus albanese che me lo devo
      installare io per consentire all'hacker di fare
      quello che vuole sul mio dispositivo o stanno
      parlando di
      qualcos'altro?Hai bisogno che ci sia qualcuno che ti traduca gli articoli? Sai leggere? Sai l'inglese? Pare proprio di no.
      • fenotipo scrive:
        Re: non ho capito
        - Scritto da: Scorigghia
        - Scritto da: fenotipo

        ma è come il virus albanese che me lo devo

        installare io per consentire all'hacker di fare

        quello che vuole sul mio dispositivo o stanno

        parlando di

        qualcos'altro?

        Hai bisogno che ci sia qualcuno che ti traduca
        gli articoli? Sai leggere? Sai l'inglese? Pare
        proprio di
        no.se tu hai capito tutto spiegamelo, o chiedi prima a tuo cuggino?
  • Androcchio scrive:
    Le nuove vulnerabilità di Certifi-gate
    Android, le nuove vulnerabilità di Certifi-gateole nuove vulnerabilità di cert sfi-gati?Meditate gente, meditate.
  • barcollo scrive:
    Faccio outing
    Io ho un ifogne! (for real! tanto per uccidere in culle l'obbiezione:
    • barcollo scrive:
      Re: Faccio outing
      'h' bastarde!!!!Perdonatemi... e che su PI ci vengo da sbronzo XDMa mi devo registrare cazzabbubbola ;)
    • collione scrive:
      Re: Faccio outing
      - Scritto da: barcollo
      Ma pensateci... giochini sul XXXXX a parte... che
      XXXXX ce ne
      famo?tu niente, ma la NSA se ne fa eccome :Dtu sbagli prospettiva, devi guardare le cose dal lato degli spioni e allora tutto diventa molto molto chiaro
    • panda rossa scrive:
      Re: Faccio outing
      - Scritto da: barcollo
      Io ho un ifogne! (for real! tanto per uccidere in
      culle l'obbiezione: << e perchè tu usi androcess
      che fa cagher! usa <s
      percoca </s
      <s
      mela </s

      Apple... vedrai a cosa serve un
      furbophone)

      Ma sti caTzo di smartphone mi hanno rotto un pò
      le
      pelotas.

      Ma davvero l'acXXXXX ad internet 24/24 è così
      mitico?!L'acXXXXX a internet H24 e' mitico se sei in un ufficio.In mobilita' e' una roba da sfigati incapaci di affrontare il mondo e le relazioni sociali in modo diretto.
      Gli SMS e le chiamate non bastano per essere
      Cool?C'e' il telefono fisso sulla scrivania (che chiamarlo non ti costa niente a meno che sei uno sfigato senza telefono fisso e allora e' giusto che tu paghi!). Se io non sono alla scrivania mandi mail, che quando ho tempo leggo e rispondo.Altrimenti vuol dire che non e' poi cosi' importante.
  • Jack scrive:
    Android vs Windows
    Sinceramente mi verrebbe da fare qualche paragone:anteprima video attiva di default = autorun attivo di defaultmobile Remote Support Tool = Condivisione C$ attiva di defaultPossibile che la storia non insegna che certe idee sono pessime?
  • bubba scrive:
    bell hack,ma le slides stesse dicono che
    e' un problema dei vendor (ossia dei coder teamview citrix e affini).ovviamente google puo' mettere/spingere per un meccanismo di auth migliore
  • bully scrive:
    mazzate a gogol: soli contro tutti
    Maaaaa???? Non erano quelli che facevano gli sboVoni in casa d' altri col project zero?
    • bubba scrive:
      Re: mazzate a gogol: soli contro tutti
      - Scritto da: bully
      Maaaaa???? Non erano quelli che facevano gli
      sboVoni in casa d' altri col project
      zero?dalle slide:"Google moved the responsibility to the OEMs"in realta' e' un problema dei coder di teamview e affini (certo gogol puo' aiutare [a migliorare il sistema di auth & co]....)
      • collione scrive:
        Re: mazzate a gogol: soli contro tutti
        - Scritto da: bubba
        in realta' e' un problema dei coder di teamview e
        affini (certo gogol puo' aiutare [a migliorare il
        sistema di auth &
        co]....)microkernel microkernel, non impareranno maiche poi tutto il cloud ( o quasi ) gira su un microkernel che si chiama Xenma si sa, quelli di Xen hanno usato la parolina magica "virtualizzazione" e allora è cool, altrimenti era out
  • samantho scrive:
    che schifo
    cambiasse nome in colabroid che è più azzeccato.
    • ... scrive:
      Re: che schifo
      - Scritto da: samantho
      cambiasse nome in colabroid che è più azzeccato.Una volta si paragonava la sicurezza di Windows ad Android e gli utenti Android si sentivano offesi.Ora quando si sentono questi paragoni sono gli utenti Windows a sentirsi offesi.
      • Qapla Giaguaro scrive:
        Re: che schifo
        Facciamo così: quando ci sarà un "Code red" su Android ne riparleremo.Fino ad allora state parlando di aria fritta ;)
        • ... scrive:
          Re: che schifo
          - Scritto da: Qapla Giaguaro
          Fino ad allora state parlando di aria fritta ;)1) i bug sono reali e dimostrati.2) il fatto che i produttori, nella stragrande maggioranza dei casi, non patchino è oggettivo.1+2 --
          Puoi solo aggrapparti, tutto sudato, alla speranza che nessuno ti violi.
          • collione scrive:
            Re: che schifo
            non hai capito cos'è Code red, vero? (rotfl)mi pare che l'affermazione dell'amico sopra sia pertinente, visto che il tuo amato sistema operativo a bucabile da 1000 km di distanza ed in automatico
        • Zucca Vuota scrive:
          Re: che schifo
          - Scritto da: Qapla Giaguaro
          Facciamo così: quando ci sarà un "Code red" su
          Android ne
          riparleremo.Cavoli... ti riferisci a 15 anni fa? Pensa che un mucchio di "attacchi" si sono verificati ben dopo che Microsoft aveva pubblicato il fix. Purtroppo molti sysadmin non applicavano i fix e i loro sistemi risultavano vulnerabili.
          • collione scrive:
            Re: che schifo
            - Scritto da: Zucca Vuota
            Cavoli... ti riferisci a 15 anni fa? Pensa che un
            mucchio di "attacchi" si sono verificati ben dopo
            che Microsoft aveva pubblicato il fix. Purtroppo
            molti sysadmin non applicavano i fix e i loro
            sistemi risultavano
            vulnerabili.insomma una storia simile a quella di Androidle vulnerabilità ci sono, vengono fixate, ma gli OEM non applicano i fixl'unica differenza è dover sostituire sysadmin con OEM
  • ... scrive:
    meno male che c'è la'ggiornamento
    meno male che c'è l'aggiornamento automatico come su Windows.Ah no, non è Windows.In Android l'aggiornamento automatico ce l'hanno forse lo 0.001% dei modelli. Ma va bene così perché " <i
    non è colpa di Google se gli OEM non aggionano </i
    " (rotfl)(rotfl)(rotfl)(rotfl)
    • WinForLife scrive:
      Re: meno male che c'è la'ggiornamento
      Esatto! Chissà se gli Androidi regalati nei concorsi dei benzinai riceveranno gli update?! (rotfl)Sicuramente passati un certo numero di mesi, questi ricercatori rilasceranno pubblicamente l'exploit! E ci sarà da ridere, ovvero da piangere per molti... Fortunanatamente non sono uno di loro. :-o(win)
    • collione scrive:
      Re: meno male che c'è la'ggiornamento
      - Scritto da: ...
      meno male che c'è l'aggiornamento automatico come
      su
      Windows.
      Ah no, non è Windows.eh certo, l'aggiornamento automatico su windows http://thehackernews.com/2015/08/windows-update-malware.htmlHAHAHAHAHAHAHAHA (rotfl)
      • WinForLife scrive:
        Re: meno male che c'è la'ggiornamento
        Solo gli aggiornamenti aziendali passano tramite WSUS, e solo se in quella determinata azienda si è scelto di usarlo. :-o(win)
        • Izio01 scrive:
          Re: meno male che c'è la'ggiornamento
          - Scritto da: WinForLife
          Solo gli aggiornamenti aziendali passano tramite
          WSUS, e solo se in quella determinata azienda si
          è scelto di usarlo.
          :-o

          (win)Ma dai? E il fatto che questa teribbbile vulnerabilità Android passi per remote support tool che devono essere installati sul telefono obiettivo non l'hai notato? (rofl)
        • piaccapi scrive:
          Re: meno male che c'è la'ggiornamento
          E ti pare una sciocchezza impestare migliaia di computer aziendali dove il livello di sensibilità dei dati è sicuramente più elevato di quello relativo ad un pc domestico?- Scritto da: WinForLife
          Solo gli aggiornamenti aziendali passano tramite
          WSUS, e solo se in quella determinata azienda si
          è scelto di usarlo.
          :-o

          (win)
          • panda rossa scrive:
            Re: meno male che c'è la'ggiornamento
            - Scritto da: piaccapi
            E ti pare una sciocchezza impestare migliaia di
            computer aziendali dove il livello di sensibilità
            dei dati è sicuramente più elevato di quello
            relativo ad un pc
            domestico?Potevi dirlo subito che non hai mai lavorato in una azienda con un reparto informatico (anche se fosse solo il desktop con la contabilita').Ti spiego io come funzionano le cose nelle aziende:1) ci sono gli impiegati che SE NE FREGANO ALTAMENTE della sicurezza dei dati e della rete aziendale2) ci sono gli amministratori che capiscono di informatica ancora meno di un giornalista con l'iphone3) c'e' (non sempre) l'amministratore di rete che e' l'unico che ci capisce, e' quello che deve far applicare le policy aziendali decise dal (2) che non servono affatto a risolvere i problemi di sicurezza ma che impediscono agli (1) di lavorare, ed e' quello che deve fare in modo che gli (1) non abbiano scuse per non lavorare e passare la giornata a guardarsi youporn.Altro che livello di sicurezza elevato.
      • ... scrive:
        Re: meno male che c'è la'ggiornamento
        - Scritto da: collione
        - Scritto da: ...

        meno male che c'è l'aggiornamento automatico
        come

        su

        Windows.

        Ah no, non è Windows.
        eh certo, l'aggiornamento automatico su windows
        http://thehackernews.com/2015/08/windows-update-ma

        HAHAHAHAHAHAHAHA (rotfl)Fammi capire, stai ribattendo dicendo <i
        "Windows blablabla" </i
        ?E questa la tua linea?Gli utenti Android, <b
        nonostante il buso grande come il centro di un campo da calcio ed IMPATCHABILE perché i produttori NON vogliono farlo </b
        , dovrebbero essere contenti solo perché <i
        "windows blablabla" </i
        ?Sei davvero sicuro della tua linea? (rotfl)(rotfl)(rotfl)Contento tu! (rotfl)(rotfl)(rotfl)Fai ancora le elementari?
        • collione scrive:
          Re: meno male che c'è la'ggiornamento
          - Scritto da: ...
          Contento tu! (rotfl)(rotfl)(rotfl)
          Fai ancora le elementari?e tu allora? cos'è quel "non è windows"?ti ho dimostrato che il tuo eroe e ancorpiù bacato di android, il che è cosa nota da decenniquindi che te la tiri affà?
          • ... scrive:
            Re: meno male che c'è la'ggiornamento
            - Scritto da: collione
            - Scritto da: ...


            Contento tu! (rotfl)(rotfl)(rotfl)

            Fai ancora le elementari?

            e tu allora? cos'è quel "non è windows"?mi risulta che tutti Windows di default vengano aggiornati.Questo è ciò a cui deve tendere qualunque OS. Chi non lo fa è PEGGIO DI MICROSOFT, ti rendi conto?Google è stata costretta a capirlo solo ora (prima faceva la finta tonta).Ah.. e non dimentichiamo il periodo di manutenzione: Samsung ha fatto proclamoni di recente e poi si è scoperto che gli aggiornamenti li farà solo per le ultime due generazioni... LOL, 2 anni contro il decennio buono che MS normalmente concede per le patch di sicurezza di un OS... Chi ha un S4 lo butta nel XXXXX.
            ti ho dimostrato che il tuo eroe e ancorpiù
            bacato di android, il che è cosa nota da
            decenniPerfetto: allora gli utenti Android continuano ad avere il busone in pericolo, ma tu ti sentirai meglio perché me le hai cantate credendo che io sia un fanboy come te (rotfl)(rotfl)(rotfl)Una roba tipo crescere, no?
          • Tuxone scrive:
            Re: meno male che c'è la'ggiornamento
            - Scritto da: ...
            Ah.. e non dimentichiamo il periodo di
            manutenzione: Samsung ha fatto proclamoni di
            recente e poi si è scoperto che gli aggiornamenti
            li farà solo per le ultime due generazioni...
            LOL, 2 anni contro il decennio buono che MS
            normalmente concede per le patch di sicurezza di
            un OS... Chi ha un S4 lo butta nel
            XXXXX.Tu stai paragonando un OS desktop a uno mobile... Come paragonare vitelli e cavolfiori...
          • ... scrive:
            Re: meno male che c'è la'ggiornamento
            - Scritto da: Tuxone
            Tu stai paragonando un OS desktop a uno mobile...
            Come paragonare vitelli e
            cavolfiori...per l'utente non cambia un piffero.
          • atroce scrive:
            Re: meno male che c'è la'ggiornamento
            certo certo 6 furbo tu!
      • Zucca Vuota scrive:
        Re: meno male che c'è la'ggiornamento
        - Scritto da: collione

        eh certo, l'aggiornamento automatico su windows
        http://thehackernews.com/2015/08/windows-update-ma

        HAHAHAHAHAHAHAHA (rotfl)Ma questi hanno veramente tempo da perdere. In pratica dicono che se usi internamente un sito HTTP, il client è suscettibile di attacchi man in the middle. Wow!
    • Luca scrive:
      Re: meno male che c'è la'ggiornamento
      Beh....direi che è sempre lì il problema!
  • WinForLife scrive:
    Che disastro!
    Gravi falle scovate a raffica sui sistemi Apple e Android... Mi sembra di capire che l'unico modo per stare sicuri è quello di usare prodotti MS!(win)
    • W Linux scrive:
      Re: Che disastro!
      Ma allora le botnet in vendita nel derep web di cui ho tanto sentito parlare non sono di computer Windows. ..:-)
      • W Linux scrive:
        Re: Che disastro!
        - Scritto da: W Linux
        Ma allora le botnet in vendita nel derep web di
        cui ho tanto sentito parlare non sono di computer
        Windows.
        ..:-)Deep..sorry.
    • pr0n scrive:
      Re: Che disastro!
      - Scritto da: WinForLife
      Gravi falle scovate a raffica sui sistemi Apple e
      Android... Mi sembra di capire che l'unico modo
      per stare sicuri è quello di usare prodotti
      MS!

      (win)Windows computer, meglio conosciuti come WC:http://tinyurl.com/oghra3x
    • ... scrive:
      Re: Che disastro!
      - Scritto da: WinForLife
      Gravi falle scovate a raffica sui sistemi Apple e
      Android... Mi sembra di capire che l'unico modo
      per stare sicuri è quello di usare prodotti
      MS!

      (win)(win)(win)(win)(win)(win)(win)(win)(win)(win)(win)(linux)(linux)(linux)(linux)(linux)(linux)(linux)(win)(win)(linux)(apple)(apple)(apple)(apple)(apple)(linux)(win)(win)(linux)(apple)(amiga)(amiga)(amiga)(apple)(linux)(win)(win)(linux)(apple)(amiga)(nolove)(amiga)(apple)(linux)(win)(win)(linux)(apple)(amiga)(amiga)(amiga)(apple)(linux)(win)(win)(linux)(apple)(apple)(apple)(apple)(apple)(linux)(win)(win)(linux)(linux)(linux)(linux)(linux)(linux)(linux)(win)(win)(win)(win)(win)(win)(win)(win)(win)(win)
    • Osvaldo scrive:
      Re: Che disastro!
      - Scritto da: WinForLife
      Gravi falle scovate a raffica sui sistemi Apple e
      Android... Mi sembra di capire che l'unico modo
      per stare sicuri è quello di usare prodotti
      MS!L'unico modo è di usare un telefono a tasti tipo Nokia 3310, tanto per cominciare. La moda degli smartphone connessi alla rete porta inevitabilmente a questo problema, che siano Android o WPhone o Apple
Chiudi i commenti