In una dimostrazione due esperti di sicurezza hanno “guidato” da remoto un veicolo senza il consenso del conducente. Rilasciata una patch correttiva

L’ altro ieri c’è stata una tempesta mediatica nel settore Infosecurity. Per la prima volta nella storia, è stata segnalata una vulnerabilità al controllo da remoto di un’auto connessa. Vittima è una Jeep Cherokee, il cui computer di bordo ha subito un attacco che ha sfruttato una vulnerabilità del sistema di intrattenimento. Gli autori del “sabotaggio” sono due esperti di sicurezza – Charlie Miller e Chris Valasek – che hanno effettuato una dimostrazione sul campo, sottolineando che il bug consente ad esempio di disattivare i freni oppure spegnare il veicolo in mezzo ad un’autostrada. Questo perché Attraverso la vulnerabilità scoperta i due esperti hanno ottenuto non solo l’accesso alle impostazioni non critiche ma hanno anche preso il controllo della macchina. In primo luogo, l’automobilista non poteva controllare il sistema di aria condizionata, la radio e i tergicristalli del parabrezza. Poi la macchina stessa è passata sotto il controllo dei ricercatori invece che del proprietario.

Presumibilmente, la vulnerabilità è stata trovata nel sistema di bordo Uconnect, che operava con l’operatore di rete mobile Sprint per comunicare con il mondo esterno di Fiat Chrysler Automobiles (FCA). Se i rapporti sono corretti, l’attacco dimostra che è sufficiente conoscere l’IP esterno di un bersaglio, per riscrivere il codice nel computer di bordo della vettura e ottenere il controllo del veicolo. – ha spiegato Sergey Lozhkin, Senior Security Researcher del GReAT team di Kaspersky LabLe vulnerabilità possono essere trovate ovunque ci sia un sistema operativo e applicazioni installate. Per proteggere una macchina, i produttori devono pensare alla sicurezza delle auto nello stesso modo in cui si pensa alla sicurezza delle reti o computer aziendali

Per evitare tali incidenti, i produttori devono progettare l’architettura smart delle auto avendo in mente due principi di base: l’isolamento e il controllo delle comunicazioni. Isolamento significa che due sistemi separati non possono influenzarsi a vicenda (per esempio, il sistema di intrattenimento non dovrebbe influenzare il sistema di controllo come invece è avvenuto nella Jeep Cherokee). Controllare le comunicazioni significa che dovrebbe essere attuata la crittografia e l’autenticazione per la trasmissione e ricezione delle informazioni da / per l’auto.

“Secondo i risultati dell’esperimento a cui abbiamo assistito, gli algoritmi di autenticazione erano deboli / vulnerabili, o la crittografia non è stata attuata correttamente. – ha aggiunto Sergey LozhkinLa patch per questo problema è stata rilasciata la scorsa settimana. Se si guida una macchina FCA, si prega di contattare il proprio rivenditore e chiedere di installare tutti gli aggiornamenti“.