Per aggiornare il firmware delle auto hackerabili FCA invia una Pen Drive ai proprietari ma ci sono dubbi sulla sicurezza di questa soluzione
Per aggiornare il firmware delle auto hackerabili FCA invia una Pen Drive ai proprietari ma ci sono dubbi sulla sicurezza di questa soluzione
Le auto cambiano profondamente e anche i richiami rispecchiano questa evoluzione: se l'altro ieri riguardavano soltanto il metallo e ieri metallo e centraline, oggi alla lista si aggiunge il firmware di sistema, come quello aggiornato che FCA sta inviando ai proprietari delle auto a rischio hackeraggio. La spedizione per posta pone però ulteriori interrogativi sulla sicurezza.
UN NUOVO FRONTE PER LA SICUREZZA – I fatti sono ben noti: FCA ha dovuto richiamare circa 1,4 milioni di veicoli venduti negli United States perché due ricercatori-hacker, gli stessi Charlie Miller e Chris Valasek che 3 anni fa avevano violato una Toyota Prius e una Ford Escape tramite la presa di diagnosi, quest'anno avevano preso possesso di una Cherokee a distanza, grazie ad una falla nel link con un operatore di telefonia cellulare. Ma per fortuna gli acquirenti di veicoli FCA italiani – e gli europei in generale – possono stare tranquilli perché soltanto i veicoli venduti negli USA hanno il modem cellulare attraverso il quale gli hacker sono riusciti a controllare la Cherokee . In uno dei bollettini depositati sul sito di NHTSA (La National Highway Traffic Safety Administration), destinato alla rete dei venditori e reperibile cercando con il codice “15V-461”, si leggono cose interessanti. I veicoli a rischio – vari modelli Jeep, Dodge, Chrysler e RAM prodotti fino al 23 luglio 2015 – sono solo quelli dotati del sistema Uconnect con display da 8,4 pollici (i codici delle head unit in questione sono RA3 e RA4) ed è proprio lì che si nasconde la falla: “The radios on about 1,410,000 of the above vehicles have certain software security vulnerabilities which could allow unauthorized third-party access to some networked vehicle control systems”.
SI PUÒ RIMEDIARE – Nello stesso bollettino FCA descrive la procedura che il dealer deve seguire per aggiornare il firmware, operazione che avviene scaricando la nuova versione in un pen drive (da 4 GB o superiore), inserendo quest'ultimo in una delle porte USB del veicolo e controllando la versione del software. Se quest'ultimo è pari o superiore a certe versioni l'aggiornamento non è necessario, altrimenti si va avanti, con l'upgrade che dura circa 20 minuti. Il proprietario può anche provvedere personalmente: inserendo il VIN (Vehicle Identification Number) può verificare se il proprio veicolo dev'essere aggiornato; in caso affermativo può scaricare la nuova versione in un pen drive e effettuare l'upgrade. FCA sta inoltre inviando ai proprietari delle vetture in esame, per posta, un pen drive con la giusta versione (varia a seconda del modello) del nuovo firmware. Su quest'ultima modalità si sono però concentrate delle critiche proprio sulla sicurezza.
MA I RIMEDI SONO AFFIDABILI? – La busta potrebbe essere intercettata da un malintenzionato, che potrebbe rimpiazzare la patch con un software malevolo.In genere i plichi contenenti le carte di credito sono anonimi ma questa è riconoscibile e potrebbe quindi essere falsificata e “farcita” con un pen drive truffaldino. Un altro scenario vede un hacker usare i file di questi pen drive per compiere un reverse-engineering e, magari, scoprire altre vulnerabilità dei sistemi. Ovviamente i car maker, anche se un po' tardivamente, stanno prendendo contromisure creando, per esempio, una task force per la cybersecurity. Una maniera più sicura di aggiornare i firmware sarebbe la modalità Over The Air (è molto comune nel campo informatico), che ha anche il vantaggio di avere quella velocità che contraddistingue l'informatica – e gli hacker. In realtà esistono metodi (uno si chiama PGP) per rendere sicure anche milioni di copie di un software, dotando sia il veicolo sia il pen drive della stessa “chiave”, cosa che li renderebbe compatibili 1-a-1. Tranquillizziamo poi chi ha un'auto con porte USB: se esse servono solo per riprodurre file non ci dovrebbero essere problemi perché isolate da bus del veicolo. Nota rassicurante (o forse no): un signore ha messo su Twitter la foto della lettera che FCA ha inviato al marito della cognata e alcune schermate dell'aggiornamento, menzionando proprio Charlie Miller e Chris Valasek; Miller ha risposto ritenendo come, a suo parere, il file fosse criptato e perciò sicuro. Il signore che ha twittato è Mark Trumpbour, l'organizzatore del convegno degli Hacker Summercon, che ha fra i suoi Gold Sponsor anche Microsoft.