Due ingegneri informatici esperti di sicurezza dimostrano di riuscire a controllare da remoto la Jeep di uno di loro, freni e acceleratore compresi: i sistemi di infotainment sono vulnerabili. Nel frattempo al Senato americano viene proposto il "Security and Privacy in Your Car Act"
Una volta si usava il fil di ferro o lo spadino, oggi per aprire le porte di un’auto – sempre che abbia un sistema di infotainment connesso con l’esterno – è sufficiente uno smartphone con l’app giusta e un adeguato bagaglio di conoscenze informatiche. Benvenuti nell’era delle “connected car”, dove anche ladri e furfanti di ogni genere si possono connettere per i loro scopi. Certo, ancora nessuno ha denunciato un crimine di questo genere, ma probabilmente è solo questione di tempo, perché la possibilità c’è ed è concreta. Lo hanno dimostrato Charlie Miller e Chris Valasek, due ingegneri informatici americani specializzati in sicurezza: uno lavora a Twitter e l’altro in una società di consulenza. Dopo un paio d’anni di ricerche – di cui hanno sempre informato le Case automobilistiche – si sono fatti riprendere dal giornalista di Wired Andy Greenberg e hanno mostrato come si possa prendere il controllo di una Jeep Cherokee (l’auto di Miller) con un laptop dal divano di casa. Greenberg fa da cavia guidando verso un centro di collaudo e il climatizzatore inizia a sparare aria fredda. Poi è la volta dello stereo impazzito, degli indicatori di direzione spiritati e del clacson urlatore. Lui prova a intervenire manualmente ma non succede nulla.
Comandano i due da casa, che almeno hanno il buon gusto di rassicurarlo, perché anche se lui sa cosa sta accadendo, ha molta difficoltà a rimanere tranquillo, soprattutto quando, arrivato nell’area sicura, la Cherokee inizia ad accelerare, frenare e girare da sola (quest’ultima operazione solo in retromarcia). Il problema sta nella versione 2013 e 2014 del sistema Uconnect da 8,4 pollici, che prevede anche un collegamento internet tramite Sim e che la coppia di informatici è riuscita a “bucare” con un software apposito. Ovviamente FCA si è subito fatta sentire, assicurando nel suo blog che a oggi non si sono verificati né incidenti né intromissioni sgradite, che i risultati degli esperimenti di Miller e Valasek erano noti e che l’aggiornamento software per “tappare il buco” è stato già eseguito sui model year 2015, oltre a essere disponibile per tutti gli altri (peccato che bisogna scaricarlo e metterlo su una Usb, se non si vuole andare dal concessionario).
Tutto è bene quel che finisce bene, dunque, ma il problema esiste ed è concreto, tanto che due senatori democratici hanno appena presentato il “Security and Privacy in Your Car Act“, cioè un disegno di legge per consentire agli enti competenti – National Highway Traffic Safety Administration e la Federal Trade Commission – di definire standard di sicurezza informatici federali e un sistema di rating che definisca quanto ogni auto è protetta. E se pensate che siano solo “paranoie da americani fissati con la sicurezza”, tenete presente che sei mesi fa la BMW ha aggiornato 2,2 milioni di sistemi Connected Drive per problemi di vulnerabilità: avvicinandosi con uno smartphone si potevano tranquillamente aprire le porte. La verità è che quasi sempre i sistemi informatici delle auto non hanno alcun tipo di protezione: “Mentre le Case auto erano concentrate sulla ‘next big thing'”, dice il senatore Blumenthal, “hanno lasciato le auto vulnerabili agli hacker o a chiunque voglia impadronirsi anche solo dei dati sensibili”.
In cima alla pagina, nella foto di Whitney Curtis per Wired, Miller (a sinistra) e Valasek