L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo
aggiornamento: 2015/07/25 19:20.
|
|
Credit: Andy Greenberg/Wired |
Se siete proprietari di una Jeep della Fiat Chrysler (FCA) e leggete le notizie
su Internet probabilmente siete un po’ angosciati. L’esperto di sicurezza
informatica Charlie Miller ha infatto realizzato una dimostrazione spettacolare
della vulnerabilità di questo modello d’automobile agli attacchi informatici a
distanza.
Come racconta
Wired, anche con un video eloquente, Miller è infatti riuscito dapprima a prendere
il controllo dell’aria condizionata della Jeep Cherokee guidata dal giornalista
che si era offerto come cavia, poi ha cambiato la stazione radio e ha messo il
volume al massimo. I comandi a bordo per abbassare il volume non funzionavano
più. Poi si sono accesi i tergicristalli e lo schizzo del lavavetri ha oscurato
la vista al conducente.
Non contento, Miller ha fatto comparire sullo schermo digitale dell’automobile
la propria immagine insieme a quella del collega Chris Valasek. Fatto questo, ha
disabilitato l’acceleratore e poi i freni, per cui i pedali non avevano più
effetto. Uno scenario da incubo per qualunque automobilista. E tutto questo è
stato possibile senza che l’informatico toccasse l’auto o vi si avvicinasse:
l’intero attacco è avvenuto via Internet. E a questo punto l’incubo ce l’hanno
le case automobilistiche, che per anni hanno ignorato gli avvertimenti degli
esperti e hanno trasformato le auto in computer su ruote senza pensare alle
implicazioni di sicurezza. L’idea che ci sia un sistema di controllo remoto di
sistemi vitali come i freni o l’acceleratore è pura pazzia.
Tutto questo è possibile perché è stata fatta un’altra scelta tecnica di rara
incoscienza: il ricco sistema di intrattenimento di bordo, battezzato
Uconnect,
è collegato al sistema di guida dell’auto. Consente di gestire la radio,
le telefonate cellulari e persino un accesso Wi-Fi. Miller ha approfittato di un
elemento della connessione cellulare che per ora, responsabilmente, non ha
identificato pubblicamente ma che è facilmente intuibile: per attaccare un’auto
dotata di questo sistema gli basta conoscere l’indirizzo IP della vettura. I
dettagli verranno resi pubblici prossimamente in una conferenza a Las Vegas e
sono già stati forniti mesi fa alla casa automobilistica, che ha predisposto un
aggiornamento di sicurezza.
Ebbene sì: adesso bisogna scaricare e installare gli aggiornamenti anche nelle
auto.
Per evitare inquietudini inutili, va precisato che sono affette da questa
vulnerabilità soltanto le auto dotate del sistema Uconnect vendute negli Stati
Uniti, quindi quelle acquistate in Europa non dovrebbero avere problemi. Ma
resta l’interrogativo di fondo: quante altre case automobilistiche hanno
commesso lo stesso incredibile errore di progettazione? Se Charlie Miller non
avesse scoperto il difetto, la casa automobilistica lo avrebbe trovato? E se non
fosse stata organizzata una dimostrazione discutibile ma spettacolare, FCA
sarebbe intervenuta prontamente?
La sicurezza informatica delle nostre automobili è stata presa incredibilmente
sottogamba da parte di tutto il settore automobilistico. Ora, finalmente, questa
dimostrazione renderà un po’ più consapevoli del problema.
Aggiornamento (2015/07/24 20:00): FCA ha pubblicato un
comunicato
con alcuni dettagli di marche e modelli coinvolti e con istruzioni su come
rimediare al problema. Sono coinvolti circa 1,4 milioni di veicoli, tutti
venduti negli Stati Uniti e dotati di radio con touchscreen da 8,4 pollici: Ram
1500 Pickup 2013-2014, Ram 3500 Cab Chassis 2013-2014, Ram 2500 Pickup
2013-2014, Ram 4500/5500 Cab Chassis 2013-2014, Ram 3500 Pickup 2013-2014, Grand
Cherokee 2014, Durango 2014, Viper 2013-2014, Cherokee 2014 e alcune Chrysler
200 del 2015.