Auto hackerata in 8 gg tramite Wi-Fi: “test dei Costruttori inadeguati”
Le auto connesse nuove hanno software obsoleti o poco resistenti agli attacchi hacker: lo dimostra un nuovo studio sulla cybersecurity
Le auto connesse nuove hanno software obsoleti o poco resistenti agli attacchi hacker: lo dimostra un nuovo studio sulla cybersecurity
Nel mondo delle auto connesse, dove il software è il nuovo motore dell’esperienza utente dei cosiddetti Software-Defined Vehicle, la sicurezza informatica è una priorità non più rinviabile, sebbene sia ampiamente regolamentata da tutte le normative previste per l’omologazione dei veicoli in Europa. Tuttavia, l’ultimo studio condotto da un’azienda specializzata in cybersicurezza automotive, ha documentato come un team di due ricercatori sia riuscito, in soli otto giorni lavorativi, a violare completamente i sistemi critici di una nuova auto elettrica a pochi passi dalla produzione in serie.
DALLA RETE WI-FI AL CONTROLLO COMPLETO: L’ATTACCO PASSO DOPO PASSO
Tutto ha avuto inizio da una porta d’accesso inaspettatamente debole: la rete Wi-Fi di bordo, protetta solo da una password predefinita facilmente violabile. È quanto abbiamo raccontato anche nell’intervista all’hacker che ha bucato la sua Tesla in 2 minuti, inserita nel 3° Aftermarket Report di SICURAUTO.it. Dall’accesso tramite la connessione Wi-Fi, i ricercatori di PlaxidityX sono riusciti a muoversi all’interno della rete periferica del veicolo, raggiungendo il gateway centrale, che interconnette i vari moduli dell’auto. Una volta ottenuto l’accesso, è stato possibile sostituire parti di software proprietarie con versioni modificate dai ricercatori, che hanno permesso il pieno controllo sul bus CAN, la rete che gestisce le funzioni operative del veicolo, dai freni alla sterzata, fino al sistema di trazione.
APP COMPROMESSA E DIAGNOSTICA VIOLATA: UN ATTACCO SU PIÙ FRONTI
Non si è trattato solo di un attacco alla rete del veicolo. I ricercatori sono riusciti anche a inserirsi nella comunicazione tra il veicolo e l’applicazione mobile dell’utente finale, estraendo le credenziali dal codice interno del software. Grazie a questa vulnerabilità, è stato possibile intercettare e manipolare i comandi inviati tramite l’app ufficiale, ottenendo la stessa libertà d’azione di un utente autorizzato, ma con intenti potenzialmente ostili.
Durante i test, i ricercatori sono riusciti anche a violare il sistema di autenticazione diagnostica UDS (Unified Diagnostic Services), eludendo l’algoritmo di sicurezza “challenge-response”. Questo ha dato al team un accesso illimitato alle funzioni diagnostiche, di fatto spalancando le porte al controllo totale del veicolo anche durante la marcia.
SICUREZZA A RISCHIO: IL VEICOLO È DIVENTATO INUTILIZZABILE
Le conseguenze dell’attacco non sono state solo teoriche: l’auto, al termine del test, è stata resa inutilizzabile dagli attacchi che hanno lasciato evidenti tracce. Alcune funzioni essenziali, come la gestione dell’energia e la comunicazione interna, sono state compromesse a tal punto che è stato necessario effettuare un reset completo della batteria di trazione ad alta tensione, operazione invasiva che evidenzia l’impatto del test.
Lo studio è parte di un progetto normativo conforme alla norma ISO/SAE 21434, ma gli autori del white paper “Securing the Future: Cybersecurity for Automotive High-Performance Computers” – tra cui il ricercatore Omer Ziv – sottolineano che molti costruttori si concentrano unicamente sul superamento formale dei test normativi, trascurando invece una valutazione sistematica dell’intero veicolo. Le vulnerabilità più gravi emergono infatti solo quando si analizza il veicolo nella sua interezza, e non singoli componenti ECU. “Gli OEM (Original Equipment Manufacturer, ndr) devono andare oltre la compliance normativa e adottare un approccio olistico alla sicurezza, investendo nei test di penetrazione reali e completi,” ha affermato Ziv.