Basta un semplice sms per impadronirsi di alcuni comandi delle moderne connected cars. Dopo il recente mega richiamo di migliaia di Jeep prodotte a partire dal 2013 per l’individuazione di una falla nella sicurezza del sistema Uconnect di Fca (approfittando della quale sarebbe stato teoricamente possibile accedere ai controlli delle vettura) ora la conferma empirica arriva dal mondo accademico. Un team di ricercatori dell’Università della California di San Diego è riuscito a “impadronirsi” di una Corvette semplicemente inviando un messaggio di testo a una periferica collegata alla piattaforma di diagnostica della vettura.
Parliamo del banalissimo black box con cui le auto di una flotta aziendale o di un noleggiatore comunicano alla sede centrale o all’assicuratore i dati sulle distanze percorse e sul consumo di carburante. Dopo aver avuto accesso al sistema con un sms i ricercatori sono riusciti ad abbassare i finestrini della macchina, ad attivare i freni e persino a disattivarli con il mezzo in movimento a bassa velocità. Ma il controllo del veicolo, dicono i ricercatori, non si limiterebbe a quanto sperimentato sul campo. Una volta compromessa la periferica e andando ancora più a fondo diventa possibile accedere al volante, alle chiusure di sicurezza e ad altri meccanismi connessi ai sistemi elettronici di bordo.
“Abbiamo comprato alcune periferiche, le abbiamo studiate attraverso il reverse-engineering e abbiamo trovato un’enorme quantità di lacune sul piano della cybersecurity”, ha dichiarato Stefan Savage, docente di Sicurezza informatica e a capo del progetto di ricerca, presentato in questi giorni all’edizione 2015 del summit Usenix di Washington. L’hardware incriminato è quello prodotto dall’azienda Mobile Devices e distribuito sul mercato dalla compagnia di assicurazione statunitense Metromile come parte integrante di una polizza pay-per-mile, ovvero tarata sul prezzo in base alle miglia effettivamente percorse dal cliente. Per dare un’idea delle dimensioni del potenziale problema, negli States il dispositivo è in dotazione agli autisti di Uber che scelgono il piano assicurativo di Metromile in questione. Mentre il governo ha stabilito che tutte le istituzioni federali dotate di flotte superiori ai 20 veicoli dovranno dotarsi di periferiche analoghe per monitorare l’efficienza e i consumi delle auto. Ma la scelta di partner affidabili oltre ogni ragionevole dubbio non è cosa semplice: l’indagine dell’Università della California ha evidenziato che per esempio anche Zubie, il device offerto dall’assicuratore Progressive, offre il fianco a rischi simili.
Mobile Devices e Metromile sono state avvisate della vulnerabilità a giugno e hanno elaborato un aggiornamento con una patch che sarà distribuita wireless a breve. In ogni caso il produttore dell’hardware ha garantito che le nuove periferiche non presentano la stessa falla.
Il vero problema è la crescente complessità dell’elettronica di bordo, a cui spesso non corrisponde una maggiore attenzione nello studio di sistemi di sicurezza capaci di prevenire minacce ancora non chiare agli stessi produttori. Le auto di fascia alta, per esempio, escono dalla catena di montaggio con circa un centinaio di controller che gestiscono automaticamente la sicurezza (fisica) e le prestazioni del veicolo, oltre a tutto l’infotainment e le interfacce utente. Si tratta di una potenza di calcolo – stima McKinsey – comparabile a quella di 20 Pc, con cento milioni di stringhe di codice e fino a 25 Gigabytes di calcoli da processare. E su questo “mostro tecnologico” sono al lavoro non solo i colossi del mondo avanzato, da Bmw a Mercedes, passando per Ford e la già citata Fca, ma anche i costruttori dei Paesi in via di sviluppo (in India sono già sul piede di Guerra Tata, Maruti Suzuki e M&M), e i nuovi entranti del mercato, dalla già affermata (seppur di nicchia) Tesla a Google e ad Apple. Al momento dunque ci sono circa 27 milioni di veicoli connessi alla Rete, un numero destinato a triplicare entro il 2022 secondo Ihs Automotive, società di analisi specializzata sul settore, e il giro d’affari legato a questi computer su quattro ruote passerà dagli attuali 30 miliardi di dollari ai 170 miliardi del 2020. Una grande festa, che però rischia di essere rovinata se gli automaker e i fornitori di servizi accessori non punteranno con decisione sulla cybersecurity applicata all’Internet of Vehicle.