Volkswagen, Audi, Fiat, Honda e Volvo sanno che le loro (vecchie?) chiavi elettroniche e anche i sistemi keyless hanno falle di sicurezza che possono agevolare i ladri nel furto di veicoli. Il problema è che dal 2012 sono a conoscenza di una "debolezza" insita in un chip che si nasconde nelle chiavi di milioni di auto.
Oggi non sappiamo se il Megamos transponder sia stato aggiornato, sostituito o altro. L'unica certezza è che i produttori d'auto non ne hanno mai parlato e mai hanno effettuato un richiamo in tal senso, ma si sono preoccupati immediatamente di denunciare i ricercatori che hanno scoperto la falla - anche se lo studio era stato condiviso in modalità riservata.
La notizia adesso è di dominio pubblico perché durante la recente USENIX security conference un gruppo di specialisti della Radboud University (Nimega, Paesi Bassi) ha pubblicato un approfondito studio al riguardo chiamato "Dismantling Megamos Crypto: Wirelessly Lockpicking a Vehicle Immobilizer". In questo si spiega con dovizia di particolari come nel protocollo di cifratura e autenticazione del Megamos RFID transponder – usato da moltissime auto – vi siano gravi falle.
In pratica intercettando la comunicazione wireless tra la chiave e l'immobilizer bordo è possibile identificare il codice alfanumerico di sblocco riducendo notevolmente il numero di tentativi. Sebbene la cifratura sia teoricamente a 96 bit la falla consente di ridurre le prove a circa 196mila e in alcuni casi anche meno. Insomma, nella peggiore delle ipotesi i ricercatori hanno impiegato 30 minuti per sbloccare l'auto, nella migliore pochi minuti. Il tutto sfruttando la capacità computazionale di un comune portatile.
Sarà stata sufficiente una patch per risolvere il problema? No, ed è questo il secondo grandissimo problema. Perché la falla è nei chip RFID presenti sia sulle chiavi che nei trasponder delle auto. Quindi si parla proprio di sostituzione. In questi anni un richiamo di questo tipo non sembra essersi concretizzato, quindi per chi ha un'auto del 2012 si pone un problema di sicurezza?