Nel 2015 Flavio Garcia e il suo team dell’Università di Birmingham hanno dimostrato come aprire automobili dotate di sistemi d’accesso senza chiavi (e davvero senza bisogno di chiavi). Il problema riguarda veicoli creati da Audi, Citroën, Fiat, Honda, Skoda, Volvo e altri marchi ancora, case automobilistiche che vendono prodotti afflitti sin dal 2013 da varie vulnerabilità sul versante sicurezza mai risolte.
I ricercatori avevano evidenziato la possibilità di compromettere i sistemi di cifratura usati nel meccanismo di identificazione a radio frequenza (RFID), intercettando i segnali inviati dalle chiavi elettroniche. I ricercatori e gli esperti della società di ingegneria tedesca Kasper & Oswald scrive Kaspersky – hanno scoperto due nuove vulnerabilità. Questa volta ad essere sotto tiro è stata la Volkswagen: le sue automobili possono essere aperte senza chiavi. Le proporzioni della potenziale minaccia sono enormi: i ricercatori affermano che sono a rischio quasi 100 milioni di automobili, molte delle quali sono modelli VW prodotti a partire dal 1995. Solo le nuove auto, a partire dalla Golf VII, sono prive di questa vulnerabilità.
L’attacco è facile da portare a termine: basta un portatile e una tecnologia di software-defined radio (o, ancora meno costosa, una scheda Arduino da 40 dollari con un ricevitore radio). Analizzando un componente segreto delle automobili, i ricercatori hanno scoperto che la Volkswagen utilizzava una singola chiave crittografica in tutte le sue auto, ad iniziare da quelle prodotte a partire dal 1995 fino ad arrivare alla produzione della Golf VII.
Sebbene siano in uso poche chiavi, non è difficile individuarle (ci vorrebbero letteralmente pochi secondi). Conoscere la chiave è solo metà dell’opera. Con l’aiuto della scheda Arduino dotata di un ricevitore radio, gli hacker possono “spiare” e ottenere una chiave unica dell’automobile, trasmessa quando il proprietario apre o chiude l’automobile. Utilizzando le due chiavi crittografiche, i cybercriminali possono fare una copia del telecomandino per aprire l’auto.
I ricercatori spiegano che i criminali “hanno bisogno di spiare solo una volta” e devono stare ad una distanza di circa 100 metri dal veicolo, abbastanza lontani per non esser visti o per non destare sospetti). I ricercatori non hanno rivelato quali siano i componenti di queste preziose chiavi. La loro ricerca non aveva come obiettivo aiutare aspiranti ladri di automobili. Hanno solo detto che i componenti variano da modello a modello. La Volkswagen è consapevole della minacce ma può fare ben poco per sistemare la vulnerabilità.
Il sistema permette ai criminali di aprire l’automobile ma non di guidarla; gli immobilizer proteggono l’auto e non la fanno muovere in caso non sia presente fisicamente la chiave. Purtroppo anche gli immobilizer sembra siano vulnerabili. I criminali che utilizzano entrambi i metodi, possono rubare la VW che vogliono, eccezion fatta, ovviamente, per le nuove Volkswagen, a partire dalla Golf VII, nelle quali si utilizzano chiavi uniche per ogni automobile invece che chiavi condivise.