#ConnectedCar: hacker prendono il controllo di una Jeep Cherokee in autostrada

Riuscire ad hackerare una macchina mentre è in moto standosene comodamente seduto alla propria scrivania: non si tratta di una scena di un film sull’hacking bensì della realtà dimostrata da due dei massimi esperti mondiali di sicurezza informatica.

Charlie Miller e Chris Valasek non necessitano di presentazioni, sono due stelle dello scenario dell’hacking mondiale che in più di una occasione hanno esposto i rischi relativi a possibili attacchi informatici alle connected car, ovvero le macchine di nuova generazione che sono connesse ad internet per offrire una ampia gamma di funzionalità.

Per dimostrare come sia possibile attaccare i sistemi di controllo di una connected car i due hacker hanno deciso di sfruttare alcune falle di sicurezza presenti in uno dei più popolari sistemi di controllo remoto che equipaggia le connected car, il sistema Uconnect. Il sistema Uconnect è stato scelto dalla casa automobilistica Fiat Chrysler per le sue connected car, tra cui il popolare Jeep Cherokee. Parliamo di circa 471,000 veicoli venduti negli Stati Uniti.

Il sistema consente di controllare alcune funzionalità della connected car in remoto e per far ciò utilizza la rete cellulare Sprint che consente al veicolo di restare sempre connesso ad Internet. I proprietari della auto possono quindi in ogni istante dialogare con la propria auto ed impartire comandi come avviare o arrestare il motore, accedere alla diagnostica dell’auto, ricavare la sua posizione dal GPS di bordo ed attivare il sistema antifurto che le equipaggia.

Charlie Miller e Chris Valasek hanno chiesto al popolare giornalista Andy di mettersi alla guida di una Jeep Cherokee mentre, a distanza, seguivano la macchina a bordo di un altro veicolo armati di un laptop. I due esperti, sfruttando alcune falle nel sistema che consente al veicolo di connettersi alla rete, sono riusciti ad accedere al sistema Uconnect ottenendo l’identificativo del veicolo, la sua posizione e il suo indirizzo di rete.

Jeep

Gli esperti hanno utilizzato questi dati per attaccare i sistemi dell’auto guidata da giornalista. E’ bastato poco affinché prendessero il controllo del motore, dei freni e di qualunque altro sistema elettronico presente a bordo, compreso lo sterzo, i tergicristalli e sistema di intrattenimento.

“Immediatamente il mio acceleratore ha smesso di funzionare. Ho freneticamente premuto il pedale e ho guardato la salita RPM, la Jeep ha perso metà della sua velocità e hai poi rallentato a passo d’uomo. Ciò è avvenuto proprio in prossimità di un lungo cavalcavia, non avevo via di fuga. L’esperimento non era più così divertente. Mentre i due hacker prendevano il controllo dell’aria condizionata, della radio e dei tergicristalli, mi congratulavo con me stesso per il mio coraggio “spiega lo spaventato giornalista.

Trovarsi su un cavalcavia su di un’auto di cui non si ha alcun controllo deve essere una esperienza terrificante. L’esperimento ha avuto quindi esito positivo, i due esperti hanno dimostrato quanto sostenuto da sempre, ovvero la possibilità di hackerare una connected car attraverso il sistema che la connette a internet.

Per la cronaca, il 16 luglio, Fiat Chrysler ha informato i suoi clienti delle vulnerabilità presente nel sistema che equipaggia il modello Jeep utilizzato per i test e l’azienda ha pubblicato un avviso sul proprio sito web rilasciando un aggiornamento per il sistema di connettività dell’auto. L’aspetto preoccupante della storia è che la patch rilasciata dalla società deve essere installata manualmente utilizzando una chiavetta USB.
Non sono sicuro che si tratti di una idea felice, l’operazione potrebbe risultare ostica per molti clienti completamente a digiuno con di informatica e tecnologia, con il risultato che molti di loro continuerebbero ad essere esposti a seri rischi.

In realtà esistono molti modi per hackerare anche veicoli non connessi ma ugualmente gestiti da una centralina elettronica, per coloro che volessero approfondire l’argomento suggerisco la lettura di un mio articolo dal titolo “Car Hacking: You Cannot Have Safety without Security,” sono certo che lo troverete molto interessante.

Aggiornamento: l’ufficio stampa EMEA di FCA ha voluto ribadire alla nostra redazione che l’attacco è stato portato attraverso una funzione di connettività “che non è disponibile in veicoli venduti fuori degli Stati Uniti, dal momento che sui mercati internazionali non vi sono tali funzioni di connettività come nel mercato USA.” Ciò vuol dire che le “Jeep vendute nella regione EMEA (Europa, MedioOriente e Africa) non sono esposte al tipo di attacco descritto.” Come peraltro riportato in questo articolo articolo, l’azienda conferma la tempestiva disponibilità ad aggiornare il software in chiave anti cybercrime.

 

Facebook Comments

Previous articleQuello strano animale che è la comunità (del software libero)
Next articleSicurezza per le infrastrutture critiche: serve collaborazione pubblico-privato
Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security. La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.” E' membro dei gruppi di lavoro del portale “The Hacker News" e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste. E' membro del gruppo Threat Landscape Stakeholder Group dell'agenzia ENISA (European Union Agency for Network and Information Security). Ha pubblicato due libri "The Deep Dark Web" e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

LEAVE A REPLY

Please enter your comment!
Please enter your name here