FCA aggiorna la Jeep Cherokee, ma dietro c'è lo zampino degli hacker

La notizia è stata data in sordina e sembra innocua: FCA ha rilasciato, negli States, un aggiornamento software definendolo unoffrire ai clienti un innalzamento del livello di sicurezza dell'elettronica del veicolo e un miglioramento del sistema di comunicazione. Dietro, però, c'è un altro episodio di “hackeraggio benefico” che ha messo in risalto la possibilità di forzare i sistemi delle auto connesse in Rete.

PRENDERE IL BUS PER CATTURARE L'AUTO – Per capire bene la questione occorre ricordare come gli impianti elettrici delle auto (e dei veicoli in generale, dai treni alle ruspe) siano molto cambiati rispetto a quelli con fili che andavano alle singole utenze e tornavano indietro al pulsante di comando. La crescente complessità dei veicoli ha infatti spinto i costruttori a usare bus di dati – al loro interno scorrono pochi milliampere – che trasportano segnali codificati in grado di “avvertire” l'utenza selezionata (il climatizzatore, i fendinebbia e così via) che deve accendersi, spegnersi e regolarsi. I dati circolano in questi bus interni – ce ne sono di tipi diversi ma il principio è il medesimo – e i pericoli si fanno reali se questi sistemi si collegano in qualche modo con l'esterno. Riuscire a controllare da remoto la climatizzazione o verificare il livello del carburante/lo stato di carica della batteria implica evidentemente l'essere “entrati” nella dorsale di controllo del veicolo. In altre parole c'è una comunicazione fra il software di controllo a distanza, che tipicamente è una app per smartphone, e i sistemi vitali dell'auto. In questo modo si apre potenzialmente ai malintenzionati il controllo a distanza dell'auto e, tornando alla notizia, questo aggiornamento software di FCA serve proprio a porre rimedio ad una falla di questo tipo, che si è aperta nel sistema di infotainment/infotelematica Uconnect.

I PIRATI GENTILUOMINI –  Due pirati informatici sono infatti riusciti a prendere possesso di un Cherokee del 2014 con a bordo un giornalista di Wired, controllandolo a distanza e facendolo perfino finire in un piccolo fosso al lato della strada. Si tratta di hacker professionisti, Charlie Miller (già hacker della famigerata NSA, National Security Agency) e Chris Valasek, le stesse persone che nel 2012 hanno violato una Toyota Prius e una Ford Escape, facendo una dimostrazione l'anno dopo, con a bordo lo stesso giornalista Andy Greenberg (leggi gli hacker contro le auto). L'inquietante, sostanziale differenza è che allora il PC dei pirati era collegato alla presa diagnosi delle vetture mentre la Jeep Cherokee è stata hackerata dal divano di casa. Miller e Valasek hanno avvertito per tempo FCA e la patch di sicurezza è stata creata con la loro collaborazione. La vulnerabilità riguarda i sistemi Uconnect presenti in veicoli Chrysler, Dodge, Jeep e RAM degli anni 2013-2014 e nel model year 2015 della Chrysler 200 con lo schermo da 8,4 pollici e l'hotspot Wi-Fi. Gli hacker sono riusciti a controllare la radio del Cherokee, hanno azionato i tergicristalli con relativo lavavetri, avrebbero potuto spegnere il motore con l'auto in movimento e hanno controllato lo sterzo, anche se solamente con la retromarcia inserita, e disabilitato i freni.

APPRENDERE DALL'INDUSTRIA INFORMATICA –  I due hanno dichiarato che avrebbero presentato una parte del loro codice-grimaldello, come provocazione per convincere i costruttori di automobili che i loro prodotti sono vulnerabili, alla prossima conferenza Black Hat, dedicata alla sicurezza, che si terrà ad agosto in Las Vegas. Anche se la porzione di codice non permetterà ad altri hacker di sfruttare la vulnerabilità del Uconnect, quest'idea ha indotto FCA a dichiarare come in nessuna circostanza FCA permetta o crede che sia appropriato svelare informazioni su come fare azioni di hackeraggio. In ogni caso FCA indirizza i suoi consumatori a un sito dal quale scaricare la patch di sicurezza per aggiornare il sistema via USB, in alternativa essi potranno rivolgersi ad un dealer per avere l'aggiornamento gratis. Visto che il link alla rete cellulare è presente, perché non aggiornare i software Over The Air, come comunemente accade per PC, smartphone e tante altri devices? Secondo commento: i car maker dovrebbero affrontare con molta più serietà, usufruendo anche dell'esperienza dell'informatica, il problema della sicurezza delle loro auto collegate alla Rete; il governo americano, del resto, spinge già sui costruttori in questa direzione.

LE AUTO RICHIAMATE – I veicoli interessati al richiamo sono quelli dotati di sistema Uconnect con display da 8,4 pollici e più precisamente troviamo Dodge Viper (model year 2013-2015), Ram 1500, 2500, 3500, 4500, 5500 (model year 2013-2015), le due Jeep Grand Cherokee e Cherokee (m.y. 2014-2015), le Dodge Durango (m.y. 2014-2015) e vari model year 2015: 200, 300 e Dodge Charger. FCA ci tiene a precisare come non sia accaduto alcun incidente collegato alla violazione dei sistemi dell'auto.