Cosa succede se un hacker prende il controllo di un'auto a distanza

Le automobili di oggi sono sempre più simili a computer: sono dotate di decine di sistemi elettronici diversi e sono collegate a Internet.  Ecco che cosa potrebbe fare un pirata informatico una volta entrato, da remoto, nei sistemi di bordo. 

jeep
Un hacker può prendere il controllo di una Jeep a distanza? Pare proprio di sì. Che cosa può succedere? Di tutto, come si vede nel video di Wired USA a fine pagina.|Wired USA

08.30 del mattino. Come ogni giorno a quest’ora siete alla guida della vostra auto, diretti in ufficio. Google Maps vi indica le condizioni del traffico in tempo reale e vi suggerisce un percorso più veloce che vi farà arrivare in tempo per la riunione delle 9. Nel frattempo il sistema elettronico di bordo vi ricorda di fare benzina e che tra qualche chilometro c’è una stazione di servizio particolarmente economica.


Un’occhiata agli specchietti e mettete la freccia per spostarvi sulla destra. Ma… un attimo! Lo sterzo non risponde. E anche i freni sembrano fuori uso. L’auto è completamente fuori controllo e quel semaforo rosso si avvicina…

Un incubo? Purtroppo no: la vostra macchina è stata infettata da un virus informatico e in questo preciso istante è nelle mani di qualche malitenzionato seduto al suo computer a chilometri, magari centinaia, di distanza.

Questo scenario da film di fantascienza è ciò che emerge dal report “Tracking and Hacking: security and privacy gaps put american drivers at risk”  pubblicato a febbraio dal senatore americano Ed Markey e recentemente presentato al Congresso.

 

Non ci credete? Continuate a leggere e scoprirete come un giornalista di Wired, la più conosciuta rivista di tecnologia negli Stati Uniti, lo ha provato sulla sua pelle (e sulla sua Jeep Cherokee), fuori controllo e comandata a distanza da due hacker.

Ma andiamo con ordine.  Il documento Tracking and Hacking evidenzia come vi siano in circolazione sempre più auto connesse alla Rete e come queste, proprio come un PC o uno smartphone, possano facilmente diventare bersaglio dei criminali informatici grazie a banali errori di progettazione nell’hardware o nel software con cui sono equipaggiate. Ma che cosa potrebbe fare un pirata una volta che si è intrufolato nel sistema elettronico di un’automobile? Beh, molto più di quello che potreste pensare…

 

Oltre 50 sistemi elettronici diversi rendono le auto più recenti il bersaglio ideale per i malintenzionati digitali. Ma che rischi ci sono? | REUTERS/Arnd Wiegmann


Smart car. Le auto più recenti affidano il proprio funzionamento a oltre 50 diverse unità di controllo elettroniche. Si tratta di piccoli computer che si occupano della gestione dell’iniezione, della trasmissione, dell’ABS, degli airbag, del sistema di intrattenimento di bordo, della climatizzazione, ecc.


Tutti questi elementi sono collegati tra loro da un CAN (Controller Area Network), un dispositivo di rete che garantisce le comunicazioni tra i diversi elementi del sistema automobile. E in molti casi la vettura è anche connessa a Internet, per esempio attraverso lo smarphone del guidatore che è collegato via bluetooth al vivavoce o all’hi-fi di bordo.

Insomma, detto in altre parole, le autovetture moderne sono di fatto dei computer da una tonnellata o due, con le ruote e collegati in Rete. E come tutti i sistemi elettronici hanno i loro punti deboli.

Ma ‘ndo vai? Lo sanno bene Charlie Miller and Chris Valasek, due ingegneri della DARPA, l’Agenzia della Difesa Americana che si occupa di progetti speciali, che lo scorso anno alla Black Hat Conference di Las Vegas hanno mostrato le vulnerabilità di 21 modelli di auto venduti negli Stati Uniti.

I due sono di fatto riusciti a installare un virus nel sistema elettronico di queste vetture prendendone il controllo da remoto e senza bisogno di cavi. Sono riusciti a bloccare e sbloccare la chiusura centralizzata, ad agire sull’acceleratore e sui freni oltre che su sistemi secondari come la climatizzazione o l’autoradio. Ma come hanno fatto?

Miller e Valasek hanno introdotto il loro software all'interno del CAN delle vetture bersaglio o attraverso il bluetooth di uno smartphone connesso al vivavoce dell'auto o attraverso la traccia infetta di un CD musicale inserito nello stereo di bordo.

Per scoprire il sistema di attacco più efficace i due ricercatori hanno studiato a  fondo la documentazione relativa ai sitemi elettronici delle auto disponibile online sui siti delle case automobilistiche e dei loro fornitori. 

 

 

Scherzetto. Nel corso degli stessi esperimenti i due ricercatori sono anche riusciti a modificare, sempre da remoto, i valori di alcuni indicatori di bordo, come la temperatura, il livello del carburante, la velocità, la pressione degli pneumatici.

E sfruttando le vulnerabilità di alcuni antifurti satellitari che permettono di disattivare la vettura da remoto in caso di furto, sono anche riusciti a spegnere e bloccare diverse automobili stando comodamente seduti davanti al proprio PC.

Privacy a rischio. Come spesso accade quando c’è di mezzo Internet, l’auto connessa porta con sè diversi temi legati alla privacy. Per esempio la “storia di viaggio” della vettura e di chi l’ha guidata, dove è stata, per quanto tempo. Ed eventualmente anche gli smartphone con i quali si è collegata, le telefonate in ingresso e in uscita, e tutta una serie di altre informazioni che devono essere protette da accessi non autorizzati o non regolamentati.

Amici pericolosi. Qualche attimo di paura deve averlo provato anche Andy Greenberg, giornalista di Wired americano, che alla guida di una Jeep Cherokee* si è recentemente offerto come cavia per gli esperimenti digitali di Miller e Valasek.

I due, dopo aver giocato da remoto con il climatizzatore e i tergicristalli del povero cronista hanno deciso di fare sul serio, e nel bel mezzo dell’autostrada hanno deciso di mettergli in folle la vettura (dotata di cambio automatico) e di lasciarlo senza freni. «Dobbiamo ancora raffinare la nostra capacità di controllo dello sterzo» avrebbero commentato i due.

 

Gli hacker mi hanno spento la Jeep (con me dentro) (In inglese - 5:06)

 

Niente panico. C’è da preoccuparsi? Per ora no: anzi, le case automobilistiche collaborano già da tempo con esperti di sicurezza informatica come Miller e Valasek proprio per identifcare e correggere le vulnerabilità delle componenti elettroniche utilizzate nelle loro vetture.

Non è raro che le aziende pubblichino sui loro siti aggiornamenti o patch di sicurezza per il software di bordo delle proprie auto: è sempre bene installarli o farli installare dal proprio concessionario per evitare inopportune intrusioni nel proprio abitacolo.

 


 

*  Fiat Chrysler Automotive (FCA) ci ha scritto a proposito della notizia, allegandoci una breve nota stampa in cui puntualizza che il modello oggetto di "hackeraggio" non è in vendita in Italia e che la falla non è più presente nei nuovi modelli americani ed è stata tappata in quelli vecchi attarverso un aggiornamento del software. Inoltre «sotto nessuna circostanza, FCA ritiene che sia appropriata la diffusione di istruzioni che potrebbero potenzialmente incoraggiare o indurre gli hacker a ottenere un controllo non autorizzato e illecito dei sistemi di bordo di un veicolo». Ci sembra interessante per i nostri lettori ospitare anche il punto di vista di chi produce automobili e ogni giorno è impegnato nel assicurare che i propri prodotti siano dotati dei maggiori livelli di sicurezza possibile.
Torna su

22 Luglio 2015 | Rebecca Mantovani