Un gruppo di ricercatori del dipartimento d’informatica della University of
Washington e della University of California San Diego ha pubblicato una ricerca
che spiega come si può prendere il controllo di qualunque automobile moderna
dotata di sistemi elettronici per la gestione del veicolo.
La ricerca,
intitolata
“Experimental Security Analysis of a Modern Automobile”, ha dimostrato che si può utilizzare la porta diagnostica OBD-II (la sigla sta
per OnBoard Diagnostics), presente per legge in tutte le automobili
statunitensi e in quelle europee recenti, per
“ignorare completamente i comandi del conducente” e
“disabilitare i freni, far frenare selettivamente a comando le singole ruote,
fermare il motore, e così via”. Se la cosa non vi ha messo abbastanza i brividi, i ricercatori aggiungono che
sono stati in grado di
“impiantare del codice ostile nell’unità telematica di un’automobile” in
un modo che
“cancella completamente ogni prova della sua presenza dopo un incidente”.
I complottisti di Lady Diana esulteranno.
Come si fa? La maggior parte degli attacchi realizzati concretamente dai
ricercatori su automobili di produzione in condizioni reali (su circuiti
stradali sicuri) richiede che l’aggressore abbia accesso fisico all’interno
dell’auto e possa connettere degli apparecchi alla porta OBD-II (mostrata nella
foto qui accanto, da
Wikipedia).
Cosa peraltro facile: immaginate di affidare la vostra auto a un parcheggiatore
o a un riparatore o a un semplice installatore di autoradio.
Ma c’è una
sottoclasse di attacchi, secondo i ricercatori, che può essere realizzata anche
senza accedere fisicamente all’automobile, tramite i vari ricevitori senza fili
presenti nelle auto moderne. Inoltre è facile concepire un dispositivo
radiocomandato connesso alla porta OBD-II, come in effetti hanno fatto i
ricercatori, riuscendo a spegnere tutte le luci dell’auto-cavia mentre era in
moto: immaginate l’effetto che può avere uno scherzetto di questo genere di
notte su una strada non illuminata. Non vedreste più la strada e non sareste
visibili fino all’ultimo istante agli altri conducenti. Chi vi segue non
vedrebbe accendersi le vostre luci di frenata, con conseguente rischio di
tamponamento. E qualora doveste sopravvivere all’incidente, giustificarvi
di fronte all’assicuratore o al tribunale dicendo che vi hanno craccato
l’automobile sarebbe difficile e rischierebbe di sfociare in prolungate sessioni
di terapia psichiatrica.
I ricercatori statunitensi si sono divertiti a creare anche una dimostrazione di
“autodistruzione”: usando il loro software, denominato Carshark, sul
cruscotto compare un conto alla rovescia di 60 secondi, accompagnato da
ticchettii di cadenza crescente e dal suono del clacson negli ultimi secondi.
Poi si spegne il motore e si bloccano le porte. A discrezione è possibile
inoltre attivare di colpo i freni o rilasciarli.
Qui accanto vedete una demo di
tachimetro craccato: indica 140 miglia orarie (225 km/h) nonostante il cambio
dell’auto sia in modalità Park e riporta un messaggio scelto dagli aggressori
(Pwned by CarShark – CARSHARKED X_X).
Certo, i ricercatori hanno fatto
tutto questo per mettere in luce l’approccio carente alla sicurezza informatica
attuale nelle automobili e stimolare i costruttori a valutare più attentamente
questo aspetto, e dicono che non c’è motivo di allarmarsi perché a loro non
risulta che questi attacchi vengano usati. Ma altri potrebbero non essere così
altruisti e sistemi come OnStar della General Motors già adesso permettono di
sbloccare a distanza un’auto o di fermarne il motore in caso di furto. Non so
voi, ma io vado a comperarmi una Dune Buggy.
Fonti aggiuntive:
New York Times.