Insicuri su quattro ruote

Le automobili sono vulnerabili a un cyberattacco da remoto? La risposta è sì, sempre più spesso. E non solo le auto elettriche che si presume siano dotate di sistemi informatici avanzati. Anche una moderna berlina, persino un’utilitaria può essere hackerata. Questo dipende dal fatto che ormai da più di venti anni i sistemi critici di un’automobile sono gestiti con dei microchip. Secondo una indagine del New York Times in una berlina ci sono circa tremila chip di 40 tipi diversi, dai microcontroller (tipo Arduino) a veri e propri processori. È una delle ragioni per cui durante la pandemia le case automobilistiche hanno avuto difficoltà con la produzione di veicoli: la scarsità dei processori made in China ha impattato soprattutto loro. Dal punto di vista di chi vuole hackerare un’auto, però, questa è una vera e propria fortuna.

Le marche più colpite

I diversi tipi di microcontroller e relativi firmware o sistemi più complessi offrono una montagna di opportunità per chi voglia sperimentare con tecniche inedite e capire come funzionino. Dopo un rapido studio la parte più facile da capire è che i chip utilizzati nel settore non vengono particolarmente curati dal punto di vista della prevenzione. Sono state identificate da un gruppo di hacker etici americani varie vulnerabilità di Ferrari, Bmw, Rolls Royce e Porsche. Ma i marchi sono molti di più, anche perché spesso le componenti sono riutilizzate da brand diversi. In particolare, spiega il ricercatore di cybersicurezza Sam Curry, è possibile accendere da remoto a vari modelli di Kia, Honda, Infiniti, Nissan e Acura. Oppure si possono controllare varie funzionalità delle Mercedes, delle Hyundai e delle Genesis.

Sfondare i portali?

Non ci sono solo le vulnerabilità delle auto ma anche quelle dei sistemi gestionali delle aziende che le producono. Si possono anche, secondo altre fonti, violare i siti di BMW, Rolls Royce, Ferrari e Spireon prendendo il controllo degli account degli acquirenti di queste automobili, ricavare numero di telaio e di serie dei modelli comprati, creare account aziendali fasulli e fare modifiche, creare liste di accesso e modificare per esempio l’indicazione di chi ha comprato un particolare modello o pezzo di ricambio. Secondo Curry, anche Ford, Reviver, Porsche, Toyota, Jaguar e Land Rover hanno problematiche simili, che permettono se non altro di rivelare i nomi, gli indirizzi, la mail e il telefono dei clienti che hanno acquistato i veicoli negli ultimi anni.

Insicurezza di massa

L’automobile è uno dei sistemi di trasporto più utilizzato e diffuso al mondo. Si può accedere facilmente ai sistemi perché non cambiano dopo essere stati messi in commercio. Sono basati su versioni che non vengono mai patchate di Android per il sistema di infotainment o anche del VOS, il Vehicle Operating System che controlla il motore, la trasmissione e altre funzioni di guida dell’automobile. Con il passare del tempo le vulnerabilità vengono scoperte ma le auto, che hanno cicli di vita di dieci e più anni, non prevedono neanche la possibilità di aggiornamenti.

Entrare senza problemi

Il primo punto di insicurezza è l’apertura dell’auto quando questa avviene senza chiavi. In Germania su 237 modelli di auto che si aprono keyless, 230 possono essere aperti con un attacco di tipo relay, cioè registrando e ripetendo il segnale codificato. Ma ci sono anche gli attacchi che permettono di sfruttare le vulnerabilità dei sistemi interni e di controllare tutto: dal sistema di intrattenimento all’accensione sino all’impianto di climatizzazione. Questo dell’insicurezza delle auto moderne è uno dei problemi più grandi che, nei prossimi anni, peggiorerà sempre di più man mano che gli attuali, nuovi modelli, invecchieranno senza patch.

Leggi anche: auto elettriche con il bug