Tom's Hardware Italia
Periferiche di Rete

Per rubare una BMW basta essere un hacker

Un video mostra una squadra di ladri aprire e rubare un'auto di lusso nel giro di pochi minuti, grazie alla conoscenza e allo sfruttamento di diverse lacune nel sistema di sicurezza digitale.

I moderni sistemi di sicurezza delle auto sono fragili come quelli vecchi. A dimostrarlo è un video apparso su YouTube qualche giorno fa, dove si vede una squadra di ladri penetrare nel sistema di sicurezza di una BMW in pochi minuti e portarsi via l'auto sotto lo sguardo delle telecamere di sicurezza.

Non si tratta dell'intercettazione del segnale, un metodo che avevamo già visto in passato e che si delinea come un attacco "man in the middle", ma di un cracking più sofisticato sul sistema informatico dell'auto. I ladri infatti si sono collegati al sistema diagnostico dell'auto, e poi lo hanno sfruttato per clonare la chiave senza fili – quella che permette di sbloccare e bloccare l'auto semplicemente avvicinandosi.  

BMW pensa alla sicurezza, i ladri possono stare tranquilli

Sembra che i ladri abbiano sfruttato molti bug del sistema di sicurezza per riuscire nel loro intento. C'è per esempio un "punto cieco" del sistema a ultrasuoni per non farsi rilevare, mentre manca un sensore che faccia scattare l'allarme in caso di rottura del vetro – metodo usato per accedere alla porta diagnostica. La porta stessa, infine, è sempre alimentata e accessibile, ma priva di qualsiasi protezione, anche di un semplice PIN a quattro cifre.

Insomma, basta collegare un computer diagnostico compatibile e il gioco è fatto: BMW sembra aver cancellato con un colpo di spugna decenni di sicurezza digitale, come se non ci si fosse mai interrogati su come evitare accessi non autorizzati ai computer. E non ci sono ragioni per credere che altre marche facciano meglio.

È lecito per un produttore di auto prendere sottogamba la sicurezza digitale? Crediamo di no: comprendiamo che l'argomento non sia stato di loro competenza fino ad ora, e di certo a tutti è concesso sbagliare. Nel caso specifico però sembra di avere di fronte un prodotto in beta (se le informazioni saranno confermate) dal punto di vista della sicurezza: possiamo accettarlo, e anche divertirci, se si tratta di cloud storage personale, di posta elettronica, di BitTorrent o altro.

In altri casi no, vogliamo comprare qualcosa che sia fatto, finito e definitivo: è chiedere troppo?