Questo articolo è disponibile anche in
versione podcast audio.
Le chiavi di cifratura e di protezione del software della Hyundai Ioniq SEL
sono pubblicamente disponibili con una semplice ricerca in Google. Lo ha
scoperto Daniel Feldman, un ingegnere informatico di Minneapolis, negli Stati
Uniti, che con questa chiave è riuscito a hackerare il sistema di
informazione e intrattenimento o infotainment della propria vettura.
Feldman racconta nel proprio
blog
che la sua auto, un’ibrida del 2021, è dotata di un sistema di
infotainment, appunto, che funziona adeguatamente, ma lui voleva vedere
se era possibile personalizzarlo, e così ha scoperto che esistono già vari
modi non ufficiali, ovviamente ad alto rischio, per entrare nella modalità manutenzione e
installare applicazioni. Il sistema, infatti, è basato su Android e quindi
accetta quasi qualunque applicazione realizzata per questo sistema operativo.
A quanto pare, la password di accesso a questa modalità manutenzione è
definita usando una tecnica piuttosto originale: è semplicemente composta
dalle quattro cifre dell’ora e del minuto indicati dall’orologio di bordo.
Ma Feldman voleva fare di più: voleva scoprire se era possibile creare degli
aggiornamenti personalizzati del firmware, ossia del software di base
del sistema di infotainment. Gli aggiornamenti ufficiali, diffusi da
Hyundai Mobis, sono distribuiti all’interno di un file ZIP protetto da una
password e sono cifrati e anche firmati digitalmente. Sembrerebbe una tripla
protezione più che ragionevole, ma purtroppo qualcuno in Hyundai ha commesso
una serie di errori davvero imbarazzante.
Per prima cosa, Feldman è riuscito a scavalcare la password del file ZIP e a
estrarne i contenuti; i dettagli della tecnica che ha usato sono nel suo
blog.
Per la cifratura degli aggiornamenti, ha trovato la chiave di decrittazione
direttamente nel file ZIP. Due ostacoli su tre erano quindi rimossi.
Ma c’era ancora la firma digitale, ossia la protezione che consente di
installare soltanto software che sia stato firmato e garantito usando una
chiave segreta in due parti, una pubblica e una privata, nota soltanto ai
tecnici di Hyundai Mobis. Senza quella chiave, Feldman era a un punto morto. È
qui che ha avuto un’ispirazione molto felice.
Per verificare che nessun altro avesse già ottenuto i suoi stessi risultati,
ha provato a cercare in Google la chiave di cifratura che aveva scoperto. E
Google gli ha fatto scoprire che la chiave usata da Hyundai era quella usata
come esempio nei manuali pubblici di crittografia (come il documento
NIST
SP800-38A). Era insomma come scoprire che i tecnici di Hyundai Mobis avevano
“protetto” (si fa per dire) il proprio software usando la password
pippo che si usa sempre nei tutorial e che conoscono tutti.
Ma non è finita qui. Frugando all’interno del software originale, l’ingegnere
informatico ha scoperto che quel software conteneva la parte
pubblica della chiave di firma digitale. Ispirato dall’errore
precedente dei tecnici Hyundai, ha provato a cercare su Google una porzione di
questa chiave, e ha scoperto che anche stavolta i tecnici avevano usato una
chiave di firma digitale che è presente negli esempi dei
tutorial, quelli che spiegano come firmare digitalmente qualunque file. E quei
tutorial, ovviamente, includono anche la chiave privata corrispondente.
In altre parole: Hyundai ha usato una chiave privata di firma digitale presa
da un tutorial e ha messo la chiave pubblica corrispondente nel proprio
software. E così è emerso che tutto il suo castello di protezioni risulta
essere fondato sull’argilla, e Feldman è riuscito a installare del software
(più precisamente del firmware) scritto da lui sulla propria auto, come
descrive in due altri articoli (primo,
secondo). Missione compiuta, insomma.
Morale della storia: la sicurezza nel software non è cosa che si improvvisa. I
protocolli e gli standard possono essere anche robustissimi e matematicamente
inespugnabili, ma l’errore umano, o in questo caso la pigrizia di chi ha usato
una chiave di firma digitale presa di peso da un tutorial, è sempre in
agguato. Conviene ricordarlo quando qualche azienda, anche al di fuori del
settore automobilistico, si vanta di usare i software di crittografia più
sofisticati. Se li usa un pasticcione, sforneranno pasticci.
Fonte aggiuntiva:
The Register.