Tesla, modifica remota senza il permesso del proprietario

Un hacker ha svelato l'esistenza di un nuovo modello ma qualcuno dentro Tesla non l'ha presa bene. La risposta è una modifica a distanza del firmware. Si mette così in luce un aspetto ancora poco discusso delle auto connesse, comune a tutti i dispositivi con aggiornamenti da remoto.

Jason Hughes ha analizzato il firmware della sua Tesla Model S (P85D) e ha scoperto l'esistenza del modello P100D, che ufficialmente ancora non esiste. Poi ha reso pubblica l'informazione su un forum di appassionati. All'azienda non è piaciuto per niente, e per tutta risposta qualcuno ha tentato di cancellare in remoto il firmware dell'auto alla versione 2.12.45.

p100d badges

Questo è quanto afferma lo stesso Hughes, secondo il quale i tecnici di Tesla hanno usato "un metodo di cui non ero a conoscenza per entrare e cancellare l'aggiornamento 2.13.77 in attesa dalla mia auto". Hughes aggiunge poi che "sostanzialmente hanno spedito alla mia auto un comando per riavviare il sistema di aggiornamento". Poi l'auto si sarebbe collegata al server per cercare nuovi aggiornamenti, e "senza sorprese, non c'erano più aggiornamenti in attesa per me".

Nei post successivi Hughes difende l'ipotesi che si tratti di un'azione rivolta direttamente a lui e non di un generico richiamo del software. "Lo considero una diretta rappresaglia da parte di Tesla per aver diffuso le informazioni sulla P100D. Sfortunatamente per loro lo considero anche una negazione di ciò che mi era stato promesso quando ho pagato l'auto: aggiornamenti OTA".

 

Tesla potrebbe aver semplicemente applicato una procedura di sicurezza

 

A questo punto è opportuno sottolineare che l'azione di Hughes, penetrare nel firmware dell'auto, è almeno in parte illegale: secondo le leggi statunitensi non è permesso accedere al software della propria auto, anche se in effetti lo diventerà dal prossimo ottobre. Inoltre Tesla potrebbe aver semplicemente applicato una procedura di sicurezza, partendo dal sospetto di modifiche non autorizzate e potenzialmente pericolose. 

Hughes comunque aveva già fatto un backup, grazie a cui potrà ripristinare l'aggiornamento manualmente; ha anche disabilitato le funzioni di connettività dell'auto per evitare un nuovo tentativo di downgrade remoto. Una scelta che però ha delle conseguenze. 

Tesla Model S P85D

"Come risultato, non posso usare l'applicazione mobile o altre cose nel modo corretto ora, sfortunatamente. Ma a questo punto non mi fido di loro […] e questo è l'unico modo in cui posso assicurarmi che Tesla non metta le zampe sulla mia auto quando non sto guardando. […] Ho fatto un backup dei log di tutte le azioni fatte da Tesla sulla mia auto senza istruzioni da parte mia e senza il mio permesso".

Hughes, che non è nuovo a operazioni di hacking sulle Tesla Model S, si è rivolto direttamente a Elon Musk su Twitter. Il fondatore e dirigente di Tesla ha risposto che "non è stato fatto su mia richiesta. Essere un bravo hacker è un dono". Una risposta che gli fa onore, ma va detto che qualche sospetto era legittimo: non molto tempo fa Musk infatti ha cancellato personalmente l'ordine di un cliente, reo di aver parlato male di un evento stampa di Tesla.

Elon Musk quindi non c'entra nulla, ma la vicenda lascia comunque aperto qualche interrogativo. Dobbiamo presupporre che qualcuno abbia deliberatamente deciso di alterare il software di bordo dell'auto di Hughes. Il capo dell'azienda non ha negato, limitandosi a depennare il suo coinvolgimento personale. 

2012 tesla model s interior

Da questo punto di vista l'auto non è diversa da un computer o uno smartphone: l'azienda che l'ha prodotta può intervenire e modificarla a distanza. Trattandosi di auto però l'approccio alla sicurezza deve essere molto più rigoroso, e non dovrebbero avvenire modifiche senza che l'utente finale ne sia informato e abbia l'ultima parola, mentre in questo caso parliamo di una modifica applicata "di nascosto". Un potenziale problema che si aggiunge ai rischi di sicurezza già evidenziati in passato.

La mia prossima auto sarà certamente connessa, con aggiornamenti OTA e collegamento continuo con i server del produttore. Se un giorno dovessi incontrare qualcuno che lavora al software dell'auto, dovrò sentirmi minacciato, o in qualche modo obbligato a riconoscere a questa persona una posizione di potere? Dovrò fare attenzione a non offenderlo, perché magari uscendo vede la mia auto e poi da casa si vendica?

Sì, forse dobbiamo arrenderci all'idea che non saremo più davvero proprietari dell'auto, persino al fatto che le riparazioni diventeranno una questione di pirateria informatica. Ma non dovremmo anche interrogarci sulla barriera tra i diritti delle aziende e quelli dei loro clienti (che poi saremmo noi)?