Le nuove tecnologie digitali nelle automobili semplificano la nostra vita, ma possono presentare serie vulnerabilità di cyber security.
Le automobili moderne contengono centinaia di computer di bordo che elaborano qualsiasi cosa: dai comandi del veicolo al sistema di infotainment .
Questi computer, denominati unità di controllo elettronico (ECU), comunicano tra loro tramite reti multiple e protocolli di comunicazione tra cui:
- Controller Area Network (CAN) per la comunicazione di componenti del veicolo come le connessioni tra il controllo del motore e del freno;
- Local Interconnect Network (LIN) per la comunicazione di componenti di veicoli meno costosi, ad esempio tra serrature e luci interne;
- Media Oriented Systems Transport (MOST) per i sistemi di infotainment come i moderni touchscreen e le connessioni telematiche ;
- FlexRay per comunicazioni di componenti del veicolo ad alta velocità come la sospensione attiva e la sincronizzazione dei dati del cruise control attivo.
Ulteriori sistemi di comunicazione per i consumatori sono integrati anche nelle architetture automobilistiche, tra cui il bluetooth per le connessioni di dispositivi wireless, gli hotspot Internet 4G e il Wi-Fi del veicolo.
Tuttavia, l‘integrazione di questi sistemi di comunicazione e software lascia le automobili vulnerabili agli attacchi.
La vulnerabilità dei sistemi digitali
I ricercatori di sicurezza hanno iniziato a dimostrare la moltitudine di potenziali vettori di attacco nei veicoli moderni, e alcuni exploit del mondo reale hanno portato i produttori a rilasciare richiami di veicoli e aggiornamenti software alle applicazioni mobili.
Nel 2010, i ricercatori della sicurezza hanno dimostrato come potevano creare effetti fisici e minare i controlli di sistema hackerando l’ECU.
I ricercatori hanno avuto bisogno di un accesso fisico all’ECU e sono stati in grado di ottenere il pieno controllo su qualsiasi sistema di sicurezza o automobilistico, tra cui la disattivazione dei freni e l’arresto del motore.
In un documento di ricerca di follow-up pubblicato nel 2011, i ricercatori hanno dimostrato che l’accesso fisico non è nemmeno necessario.
L’UConnect è la funzione connessa a internet di Fiat Chrysler che consente ai proprietari di controllare il sistema di infotainment/navigazione del veicolo, sincronizzare i media e effettuare chiamate telefoniche.
Tuttavia, le suscettibilità nel sistema UConnect di Fiat Chrysler, disponibile su oltre 1,4 milioni di automobili, consentono agli hacker di cercare auto con il sistema, collegare e incorporare codice malevolo e, infine, comandare i comandi vitali del veicolo come sterzo e freni.
L’app OnStar RemoteLink consente agli utenti di utilizzare le funzionalità di OnStar dai loro smartphone Android o iOS .
L’app RemoteLink può individuare, bloccare e sbloccare e persino avviare il veicolo.
Il difetto nell’app OnStar RemoteLink di General Motors , sebbene non così estremo come UConnect, consente agli hacker di impersonare la vittima agli occhi dell’app RemoteLink.
Ciò significa che gli hacker possono accedere a tutte le funzionalità dell’app RemoteLink disponibili alla vittima, tra cui localizzazione, blocco e sblocco e avvio del motore.
Il potenziale per questi sistemi di essere hackerati è stato evidenziato anche nel 2015 quando i ricercatori americani della sicurezza, Charlie Miller e Chris Valasek, hanno effettuato un cyber attack su una Jeep Cherokee.
Hanno approfittato di un difetto nel sistema di infotainment collegato dell’auto che ha permesso a chiunque con l’indirizzo IP dell’auto di accedervi da qualsiasi punto dello stesso paese.
Sono stati quindi in grado di inviare comandi alla rete di area di controllo della vettura, consentendo loro di utilizzare molte delle sue funzioni, tra cui sterzo, motore e freni.
In risposta all’hack, Jeep ha emesso un richiamo per 1,4 milioni di cherokee in tutto il mondo per applicare una patch software che rimuovesse la vulnerabilità.
Gli esperti del settore affermano che ci sono stati significativi miglioramenti nella cyber security di questi cosiddetti sistemi di auto “critici” poiché questa acrobazia ha evidenziato il potenziale problema.
John Sheehy, vicepresidente per la strategia presso la società di servizi di sicurezza informatica e computer IOActive, ha dichiarato: “Negli ultimi cinque anni la sicurezza informatica nelle automobili è migliorata perché i produttori di automobili ne hanno preso il controllo”.
Hanno assunto personale e creato programmi per esaminare potenziali problemi di cyber security durante lo sviluppo di nuovi modelli, in modo che le soluzioni possano essere messe in atto prima che le auto siano messe in vendita.
C’è stato un aumento significativo nel personale dei produttori di automobili che partecipa ai gruppi di cyber security e questo ha portato a numerosi miglioramenti in settori chiave.
La ricerca pubblicata da IOActive lo scorso anno ha dimostrato che il numero di vulnerabilità nei sistemi più importanti nelle auto connesse, e il potenziale per essere sfruttate da qualcuno con intenzioni malevole era diminuito rispetto all’anno precedente.
Una delle nuove sfide per l’industria automobilistica è migliorare la cyber security dei sistemi di basso livello, come la telematica e i sistemi di infotainment. Sarà, inoltre, necessario introdurre uno standard di settore per garantire che le persone non rivelino i dati personali quando vendono la propria auto
