La tecnologia ha un ruolo sempre importante anche a bordo delle automobili, con sistemi di assistenza parcheggio, sensori di rilevazione delle condizioni esterne, GPS, vivavoce, sensori d'urto, per non parlare dei sistemi di infotainment. Tutto si traduce in innumerevoli vantaggi, ma inevitabilmente aumenta i rischi per la sicurezza.
Ecco perché Vicente Diaz di Kaspersky Lab ha pubblicato un articolo in cui richiama l'attenzione sulla necessità, da parte die produttori di auto, di tener presente i potenziali rischi per la sicurezza. L'esperto spiega che nel breve termine non si aspetta di assistere alla diffusione di malware ad hoc per le auto, ma si aspetta "complicazioni impreviste dovute all'attivazione involontaria di malware nei sistemi IT di alcuni modelli d'auto".
Computer di bordo
Il problema, spiega l'esperto, è che mediamente un'automobile monta circa 100 diverse unità di controllo elettronico (ECU), che sono in sostanza unità programmabili collegate a una serie di sensori ed altri dispositivi, e interagiscono sulla base di algoritmi e dati di input.
Il proliferare di sistemi e tecnologie proprietarie implementate dalle varie case automobilistiche fa sì che esitano pochi standard: ogni costruttore utilizza il proprio sistema, solitamente con il supporto dei produttori di software. Quale grado di complessità può avere un software installato su un'auto? Per farcelo capire Diaz spiega che "nel caso della Chevrolet Volt il software utilizza 10 milioni di linee di codice. Windows NT 4.0 contava 12 milioni di linee di codice".
A complicare il tutto si aggiunge il fatto che su un'auto il sistema operativo in genere non è uno solo. Ogni costruttore ha il suo sistema operativo, che cambia addirittura in base alle diverse versioni. Per esempio, iDrive di prima generazione (utilizzato da BMW) si basava su Windows CE, iDrive Professional Navigation è ora basato su VxWorks.
Ad accomunare qualsiasi versione software è la mancanza di un perfetto isolamento tra le diverse reti interne, che costituisce un potenziale problema per la sicurezza. Nel caso in cui uno qualsiasi dei sistemi operativi venga infettato, infatti, si può verificare di conseguenza un'eccezione imprevista in uno qualsiasi dei sottosistemi. "Questi ultimi non sono stati progettati pensando alla sicurezza e dunque non sono stabili in circostanze avverse".
L'Università di Washington e l'Università della California a San Diego hanno condotto una ricerca che dimostra come con l'uso di tecniche fuzzing consenta di assumere pieno controllo di tutti i diversi sottosistemi presenti nell'auto, nascondere un codice malevolo nell'unità telematica e quindi bypassare tutte le rudimentali protezioni di sicurezza della rete.
L'integrazione dell'accesso ad Internet e l'interazione fra tutti i tipi di dispositivi presenti sulle auto apre quindi la strada a possibili attacchi da remoto, infezioni involontarie e attacchi cross-device. Il guaio è che l'eventuale infezione non comprometterebbe "solo" il funzionamento di un PC, ma quello di "un veicolo di 1,5 tonnellate che si muove sulla strada e trasporta persone", per cui il problema della sicurezza diventa una priorità.