Sicurezza

Quasi tutte le auto moderne sono a rischio attacco informatico

Quasi tutte le auto negli USA sono vulnerabili ad attacchi come quello mostrato da Dan Kaufman, che ha preso il controllo di un veicolo a distanza azionando tergicristalli, freni e acceleratore. A rivelarlo è il senatore Edward Markey, che ha posto domande dirette ai produttori di auto dopo aver visto una dimostrazione simile fatta da Charlie Miller e Chris Valasek nel 2013.

auto sicurezza privacy

Markey ha domandato a 20 (16 hanno risposto) produttori di chiarire quali siano le loro azioni in termini di sicurezza informatica e tutela della privacy, e ieri ha presentato un rapporto con le risposte – elaborate per non esporre i marchi coinvolti. I risultati mostrato che quasi tutti i veicoli moderni sono vulnerabili ad attacchi remoti contro i loro sistemi critici.

"Oltre ai problemi di sicurezza", scrive Andy Greenberg su Wired, "la ricerca di Markey ha fatto emergere anche il fatto che molte società automobilistiche raccolgono informazioni dettagliate riguardo la posizione delle auto e spesso le trasmettono in modo insicuro".

"Questo documento rivela una chiara mancanza di adeguate misure di sicurezza che proteggano gli automobilisti da hacker che potrebbero prendere il controllo del veicolo o contro chi potrebbe voler raccogliere e usare le informazioni personali del guidatore", recita il documento. "Dobbiamo lavorare insieme alle aziende ed esperti di sicurezza informatica per stabilire regole chiare che garantiscano la sicurezza e la privacy agli automobilisti statunitensi del 21esimo secolo", ha aggiunto lo stesso Markey.

Nel dettaglio, la ricerca evidenza che:

  • Quasi il 100% dei veicoli sul mercato (USA) hanno un qualche tipo di connettività wireless che potrebbe dare accesso ai sistemi di bordo, come Bluetooth, Wi-Fi o rete cellulare.
  • Solo sette aziende si affidano a consulenti esterni per verificare la sicurezza del veicolo, cinque non lo fanno, quattro non hanno risposto
  • Otto aziende su 16 non hanno risposto riguardo ai sistemi di controllo e sicurezza sul bus CAN (Wikipedia) dell'auto, due ammettono di non avere tale controllo e solo due affermano di aver sviluppato un sistema che arresti l'auto in sicurezza in caso di attività sospette sul bus CAN.
  • Riguardo alla protezione dei dati, solo sei produttori hanno citato vagamente la crittografia. Gli altri non hanno risposto.
  • La maggior parte dei produttori non è consapevole o non può informare riguardo ad attacchi informatici avvenuti in passato. Una sola azienda ha parlato di un'applicazione Android che poteva "integrarsi con il veicolo tramite la connessione Bluetooth"; non sono emersi tuttavia tentativi di iniettare codice pericoloso nel computer dell'auto.

Unica, magra consolazione è che la minaccia riguarda soprattutto i veicoli immatricolati nel 2013 e nel 2014. Si individua tuttavia un trend piuttosto chiaro, a indicare che la questione diventerà sempre più urgente già in tempi brevissimi. Considerando gli obiettivi ambiziosi che il mondo automobilistico si è dato per il 2020 (vedi Google Car entro il 2020, coinvolti i produttori auto e L'auto che si guida da sola arriva nel 2020. Sarà una Nissan) si capisce quanto sia pressante la necessità di mettere mano alla questione.

auto sicurezza informaticaIl rapporto di Markey fa riferimento agli Stati Uniti ma sono state coinvolte aziende europee o che vendono in Europa. Le società chiamate in causa infatti sono state BMW, Chrysler, Ford, General Motors, Honda, Hyundai, Jaguar Land Rover, Mazda, Mercedes-Benz, Mitsubishi, Nissan, Porsche, Subaru, Toyota, Volkswagen (Audi), e Volvo. Aston Martin, Lamborghini, e Tesla non hanno risposto.

Una lista interessante ma incompleta agli occhi di un automobilista europeo, visto che mancano nomi come Renault, Citroen, FIAT, Alfa, Peugeot, KIA, SEAT e tanti altri marchi ben rappresentati lungo le nostre strade. A tal proposito, Tom's Hardware rivolge con piacere le stesse domande ai produttori di auto che operano sul nostro territorio:

  1. Quanti dei vostri veicoli sono dotati di Bluetooth, GSM, 3G/4G, Wi-Fi o altre tecnologie wireless?
  2. Siete al corrente di attacchi informatici contro una o più delle vostre auto? Sapreste descrivere dettagliatamente la natura dell'attacco e il modo in cui è avvenuto?
  3. Avete sviluppato misure di sicurezza per prevenire attacchi a distanza (remoti) contro i vostri veicoli? Le auto sono dotate di sistemi di sicurezza atti a prevenire intrusioni non autorizzate tramite connessioni wireless?
  4. I vostri sistemi di sicurezza, se esistenti, sono stati verificati da terze parti? Chi sono i consulenti a cui vi siete affidati?
  5. Le auto in commercio hanno un sistema di emergenza che permette di arrestare il veicolo in sicurezza nel caso sia rilevato un attacco o malfunzionamento informatico?
  6. Le auto da Voi prodotte raccolgono dati sulla posizione e gli spostamenti? Se questi dati vengono trasferiti ai vostri server, il guidatore è stato informato? Il trasferimento dei dati, se esistente, è protetto in qualche modo al fine di evitare intercettazioni indebite?