Dalla radio allo sterzo senza entrare in auto
Dalla radio allo sterzo senza entrare in auto, alcuni hacker dimostrano la vulnerabilità dell'infotainment di Volkswagen Golf e Audi A3
Ancora problemi per il Gruppo Volkswagen ma non si tratta di motori, stavolta le noie provengono dal fronte tecnologico, in particolare della connettività. Due hacker hanno violato i sistemi di infotainment di una Volkswagen Golf e di un'Audi A3 dimostrandone la vulnerabilità. Ciò significa che la nostra privacy in auto non è al sicuro, ma c'è qualcosa di ancor più preoccupante: qualcuno potrebbe rubare o addirittura controllare la nostra vettura da remoto. La tecnologia sulle auto è fondamentale per la sicurezza, ma va a sua volta protetta.
TUTTO PASSA PER IL CAN Servirebbero alcune lezioni di informatica per entrare nei dettagli, ma cerchiamo di capire comunque come hanno fatto gli hacker ad entrare. Tutti i sistemi elettronici presenti sulle auto moderne, sicurezza compresi, sono collegati tra loro con un bus, un canale di comunicazione che permette a periferiche e componenti di scambiarsi dati. Su praticamente tutte le auto costruite dagli anni '90 in poi è presente il bus CAN (Control Area Network): comanda tutta la vettura, dalla manopola della radio all'apertura delle porte, fino a sterzo e pedali (qui il nostro approfondimento). Un hacker può accedere al CAN sia fisicamente, ad esempio tramite porta USB, che da remoto, quindi sfruttando le nuove funzionalità come il browser internet o l'hotspot wi-fi. Questa seconda via è stata percorsa da due dipendenti di una società impegnata nel campo della sicurezza informatica: attraverso internet sono entrati nel cuore di una Golf GTE e di una Audi A3 E-tron.
PERCHÉ SEMPRE VOLKSWAGEN Per eseguire il test i due hacker hanno preso in considerazione nove veicoli privati, appartenenti a loro colleghi, che avessero determinate caratteristiche: pochi strati tra la connessione cellulare e il bus CAN, facilità nell'estrazione o inserimento della scheda SIM in auto, e modelli che offrissero servizi come il Wi-Fi. Il cerchio si è ristretto intorno ai due considerati più semplici da violare, la Golf GTE e la Audi A3 E-Tron, perché entrambe dotate dello stesso sistema di infotainment IVI (In-Veichle Infotainment) prodotto dalla Harman; nel dettaglio la nuova versione, la seconda, in quanto aggiornata sotto diversi punti di vista tra cui la compatibilità con Apple CarPlay (qui tutti i modelli del 2018 su cui è disponibile).
LA VIOLAZIONE Utilizzando i servizi Wi-Fi, gli hacker sono riusciti ad entrare nella SIM interna della Volkswagen Golf GTE, con la possibilità quindi di accedere a tutti i dati del proprietario, ma per ragioni legali non sono andati ovviamente ad intaccarli e hanno interrotto qui il primo esperimento. Proseguendo sull'Audi A3 E-Tron, che dispone di un vano per inserire una SIM esterna, gli hacker sono addirittura riusciti a connettersi al CAN, in altre parole avrebbero potuto “inviare messaggi” ai sistemi di assistenza alla guida e di sicurezza, e modificare ad esempio le impostazioni della frenata d'emergenza o anche controllare sterzo e pedali (come è stato fatto su una Tesla, guarda il video); anche qui, va detto, si sono fermati per non incorrere in problemi di tipo legale. Resta comunque una cosa folle, se pensiamo a cosa potrebbe succedere se l'attacco venisse compiuto da un malintenzionato.
CONSIGLI PER LA DIFESA Alla luce della scoperta, prontamente comunicata al gruppo Volkswagen, i ricercatori hanno voluto dare alcune raccomandazioni sia ai costruttori che ai consumatori. Ai primi si chiede un maggior controllo, soprattutto se alcune componenti come quelle elettroniche vengono acquistate da terzi, e una maggior presa di coscienza riguardo ai “nuovi pericoli” legati alla tecnologia delle auto (vedi qui come intendono procedere alcuni costruttori). Il consiglio che viene dato agli automobilisti è “informarsi sui nuovi sistemi e chiedere standard più alti per la sicurezza informatica, così come si fa per i crash test”. In senso pratico invece, il miglior scudo è tenere sempre aggiornato il software dell'auto. (qui puoi trovare alcuni consigli interessanti)
LA RISPOSTA DI VOLKSWAGEN Dopo aver ricevuto il rapporto completo ed averne preso visione, Volkswagen ha inviato una lettera di risposta agli hacker. Qui si ringrazia l'azienda per aver segnalato le anomalie e la vulnerabilità al Gruppo, ma si specifica anche che in realtà, citiamo testualmente: “L'obiettivo di manipolare sterzo e freni non è stato raggiunto”; vero, ma solo per motivi legali. E ancora la lettera prosegue: “Siete riusciti ad accedere al sistema di infotainment e ad ottenere le autorizzazioni ROOT. Sono i diritti di amministratore del sistema di infotainment (MIB) destinati allo sviluppo Volkswgen e non all'utilizzo privato dei clienti. L'interfaccia aperta su Golf GTE e Audi A3 è stata chiusa da un aggiornamento del software di infotainment eseguito sui veicoli prodotti a partire dalla settimana 22 del 2016”. Secondo l'azienda che ha hackerato i sistemi però, non è previsto alcun aggiornamento per la produzione precedente, e di conseguenza, purtroppo, le auto sono ancora vulnerabili.