Pur continuando ad aggiungere funzioni che potrebbero aprire brecce ad attacchi informatici, le case costruttrici stanno cercando di migliorare la sicurezza dei computer a bordo delle loro automobili.
di Will Knight
La vostra prossima automobile potrà anche vantare un magnifico punteggio in termini di affidabilità, ma che dire della sicurezza dagli attacchi hacker?
Alcuni ricercatori nel campo della sicurezza informatica hanno recentemente dimostrato diversi trucchi per accedere ai sistemi delle automobili e prendere il controllo di componenti quali impianto stereo, tergicristalli e persino volante e freni. In un esempio, un paio di esperti ha disattivato dalla distanza l’impianto frenante di una Jeep Cherokee mentre un giornalista era al volante.
Non è una sorpresa che le case costruttrici abbiano cominciato a prendere in considerazione la sicurezza informatica. Il passo rapido del cambiamento tecnologico all’interno dell’industria, e in particolar modo l’entrata in scena della connettività, che ha esposto le automobili alla possibilità di subire attacchi informatici, hanno però travolto i loro tentativi. Allo stesso tempo, le case automobilistiche continuano ad aggiungere nuove funzioni che richiederanno ulteriori interventi sulla sicurezza.
La costruttrice di auto elettriche, Tesla Motors, è avanti a tutte, con una vettura sia altamente computerizzata e connessa che relativamente ben protetta dagli attacchi hacker.
Rispetto alla maggior parte delle vetture oggi in circolazione, la Model S presenta una rete di computer interna che separa sistemi differenti, rendendo più difficoltoso il passaggio da un sistema all’altro. Gli esperti che sono riusciti ad accedere ai sistemi della Jeep, ad esempio, hanno utilizzato il sistema di intrattenimento come accesso alle altre componenti della vettura. Altre case costruttrici stanno ora sviluppando sistemi simili, spiega Joshua Corman, un ricercatore indipendente che offre alle case automobilistiche una consulenza sulla sicurezza informatica. “Non esiste un motivo reale per cui l’impianto stereo deve poter comunicare con i freni”, dice.
Le case automobilistiche stanno anche revisionando il loro approccio alla risoluzione di problemi e bug, per cui invece di minacciare cause legali (come già è accaduto in passato) si rivolgono ora agli esperti perché li aiutino a identificare e risolvere i problemi. Tesla offre persino ricompense in denaro a chiunque identificasse problemi simili. Diversi esperti nel settore ritengono che altre case automobilistiche potrebbero presto fare la stessa cosa. Corman sostiene che due marchi avessero pianificato l’annuncio di un nuovo approccio in occasione della Defcon, una importante conferenza sulla sicurezza informatica che si è tenuta a Las Vegas, ma che avrebbero esitato a farlo a seguito della risposta negativa della stampa alla dimostrazione sulla Jeep.
Altre case stanno escogitando sistemi per correggere remotamente i software sulle loro auto così da poterli risolvere più rapidamente. Per ora, solo Tesla e BMW sono in grado di farlo (vedi “Gli aggiornamenti Over-the-Air della Tesla Motors sono la strada da prendere”), ma Ford ha recentemente dichiarato che introdurrà questa funzione sulle sue vetture, anche se non ha precisato esattamente quando.
Molti esperti ritengono che le case automobilistiche debbano fare molto di più. Corman promuove, fra le altre cose, l’aggiunta di una “scatola nera” ai computer delle vetture affinché gli attacchi hacker possano essere registrati e rintracciati. Un dispositivo simile potrebbe anche essere adoperato per rilevare e bloccare un attacco in corso.
Sono anni che studenti e ricercatori universitari “hackerano” vetture (vedi “Taking Control of Cars from Afar”).
L’introduzione della connettività cellulare ha però semplificato la compromissione di una vettura. Craig Smith, un ricercatore che testa la sicurezza dei sistemi di diverse case costruttrici, dice di aver compiuto imprese simili a quella dimostrata sulla Jeep. “Quando si tratta di scovare un punto debole, i trucchi nuovi da imparare sono in fondo pochi”, dice.
La maggior parte delle case automobilistiche permette oggi agli smartphone di connettersi al computer di bordo attraverso i sistemi CarPlay di Apple e Android Auto di Google (vedi “Rebooting the Automobile”). Anche se una vettura è priva di una propria connessione cellulare, questi sistemi permettono al conducente di visualizzare app, mappe e messaggi sul display di bordo per cercare informazioni online.
Le case costruttrici, oltre a Google ed Apple, dicono che questi sistemi non costituiscono alcuna minaccia perché proiettano semplicemente lo schermo del telefono cellulare su quello della vettura. “Non manipolano alcun dato”, dice Brad Stertz, un portavoce di Audi, che sta aggiungendo i sistemi CarPlay e Android sui suoi modelli.
Gli esperti non pensano altrettanto. Charlie Miller, uno dei ricercatori che ha condotto la dimostrazione sulla Jeep Cherokee, dice di non aver esaminato CarPlay e Android Auto ma di credere che siano “potenziali vettori”, per cui potrebbero fornire un sistema di accesso al resto della vettura.
Kevin Mahaffey, CTO di Lookout ed uno dei ricercatori dietro un recente hack a una Tesla, ritiene che questa sia una possibilità da considerare. “Con la crescente comunicazione fra auto e smartphone, credo che i rispettivi problemi di sicurezza si stiano mescolando assieme”, dice. “Non posso rilasciare alcun commento su future ricerche, ma stiamo assistendo sempre più all’intersezione fra cellulari e sistemi cruciali per la sicurezza, per cui stiamo prestando molta attenzione”.
Di certo è ancora difficile violare il sistema di bordo di una vettura. La dimostrazione con la Jeep ha comportato l’ingegneria inversa e la riprogrammazione di un chip nel sistema di intrattenimento di una vettura. Ciononostante, il livello di competenza necessario si sta gradualmente diffondendo, con la quantità di codici sorgente divulgati online e il crescente interessamento delle persone nella sicurezza delle vetture.
Corman ritiene che intorno a 10 esperti stessero insegnando come violare l’hardware di una auto in occasione dell’evento Defcon intitolato “The population of car hackers is growing quickly”.
(MO)
