Si moltiplicano i test sulle auto connesse e le vulnerabilità individuate sono numerose. E’ di questi giorni una ricerca condotta da Altroconsumo Innova, che ha portato a identificare numerose debolezze in due modelli di auto molto comuni, la Volkswagen Polo TSI 1.0 e la Ford Focus Titanium 1.0. La vulnerabilità più seria che è stata trovata riguarda il sistema di infotainment che governa contenuti multimediali come radio, gps, alcune funzioni di guida: in particolare, sulla Polo, tramite l’installazione degli aggiornamenti rilasciati da Volkswagen, gli esperti sono riusciti a modificare il software inserendo un codice che ha fatto sì che il sistema si spegnesse ogni cinque minuti.
In teoria, entrando nel sistema di controllo dei contenuti, un hacker potrebbe disabilitare le funzioni collegate. Fortunatamente, il sistema di infotainment della Polo è “isolato”, cioè non connesso ad altri: quindi, anche hackerandolo, non è stato possibile accedere al sistema che governa lo sterzo o i freni, detto powertrain (altrimenti, la vulnerabilità sarebbe stata più seria). Quanto alla Focus, l’accesso all’infotainment, invece, non è stato possibile; gli esperti hanno però verificato che questo sistema può comunicare con le centraline che governano motore, freni, ecc.
Oltre a questo, altre “porte di accesso” trovate nel corso dei test di Altroconsumo, in altri sistemi connessi delle vetture, sono state: il segnale di apertura-chiusura porte, il sistema radar e il segnale di pressione delle gomme. Le vulnerabilità individuate, pur non incidendo in modo diretto e a distanza sulla sicurezza di conducente e passeggeri, comunque preoccupano: sistemi informatici accurati e il più possibile “blindati” sono fondamentali per la sicurezza delle auto, soprattutto in vista di un mondo in cui sempre più vetture saranno connesse al mondo esterno. I car maker sono stati quindi avvertiti delle vulnerabilità nei sistemi che controllano le auto connesse, e che potrebbero mettere a rischio la vita dei viaggiatori.
Una ricerca analoga conferma le vulnerabilità delle due auto
Quasi contemporaneamente, sono usciti lo scorso 9 aprile i risultati di una analoga ricerca svolta in UK (che ha riguardato sempre i due modelli di auto Ford e Volkswagen, ossia la Ford Titanium Automatic 1.0L e la Volkswagen Polo SEL TSI Manual 1.0L), svolta questa volta dal magazine Which?. In questo caso, grazie all’aiuto degli specialisti della società di testing Context Information Security, è stata verificata la possibilità di hackerare la unit di Infotainment della Polo. I ricercatori hanno verificato che era possibile arrivare ad abilitare o disabilitare il “traction control” (il sistema che migliora la trazione degli pneumatici, riducendone lo slittamento in caso di scarsa aderenza), oltre che entrare in possesso di una gran quantità di dati personali, numeri di telefono, posizioni personali.
Per quanto riguarda la Ford, gli esperti sono invece riusciti a intercettare messaggi inviati dal sistema di monitoraggio della pressione delle ruote, e a ipotizzare che un hacker potrebbe modificare queste informazioni e frodare in questo modo il proprietario dell’auto.
Lisa Barber, giornalista del magazine Which? che ha condotto l’inchiesta, ha affermato: “Molte case automobilistiche hanno investito moltissimi soldi nel progettare sistemi di infotainment evoluti e sofisticati che però non tengono assolutamente in conto le potenzialità di un attacco da parte degli hacker e che mettono a repentaglio la sicurezza dei dati personali”.
Analizzando il codice dell’auto della Ford, gli esperti di Which? hanno poi avuto la sorpresa di scoprire i dettagli WiFi e una password che probabilmente andava attribuita ai sistemi informativi della linea di produzione Ford (un’ulteriore verifica ha portato a confermare che si trattava di una fabbrica posizionata a Detroit, nel Michigan).
La ricerca ha messo poi in luce che le auto connesse generano e condividono moltissime informazioni sui loro possessori: la app Pass della Ford condivide in ogni momento posizione e direzione di movimento dell’auto, dati dei sensori delle auto (ad esempio, luci, livello e consumo di carburante). Inoltre, registra moltissime informazioni sulla guida, velocità, accelerazione, frenata, e come afferma la policy di riservatezza, può condividerle con dealer e concessionarie affiliate. Allo stesso modo, l’app We Connected di VW richiede l’accesso a informazioni personali delle persone, ma afferma che le condivide con terze parti solo se “necessary for the purpose of performing a contractual obligation”.
In definitiva, le Connected Car sono vulnerabili ad attacchi
Anche lo scorso luglio, uno studio similare dell’associazione per la difesa dei consumatori Consumer Watchdog aveva rivelato (nello studio “Kill Switch: Why Connected Cars Can Be Killing Machines And How To Turn Them Off”) che la connessione a internet poteva “aprire” molti sistemi critici per la sicurezza fisica della persona a “incursioni” malevole di attaccanti esterni.
E aveva avvertito che molti car maker, pur consapevoli del problema, preferivano non farci troppo caso mentre spingevano sul mercato i nuovi sistemi di infotainment o le funzioni avanzate basate sulla connettività. Il report avvertiva che il problema stava nel fatto che i sistemi di navigazione e intrattenimento, oltre al collegamento alla rete cellulare, erano anche connessi al CANbus (Controller Area Network) del veicolo. E quindi alle centraline più critiche, come quelle che controllano freni e motore.
A cura di:
Elena Vaciago
Associate Research Manager, The Innovation Group