Un ricercatore dei Digital Bond Labs specializzato in sicurezza ha presentato i risultati di una sua ricerca alla S4, conferenza in materia che si è svolta dal 13 al 15 gennaio presso il Kovens Conference Center di Miami Beach. In uno degli incontri si è parlato di auto e di come hackerare il network a bordo dei veicoli sfruttando un diffuso dongle da connettere alla porta OBD2 (il connettore usato per funzioni di autodiagnosi e segnalazione errori o guasti).
Sfruttando una sorta di scatola nera denominata “Snapshot” (dispositivi del genere sono da qualche tempo in voga anche nel nostro paese) alcune compagnie di assicurazione offrono un sistema premiante basato sullo stile di guida, sul calcolo de Km percorsi, il livello di rischio (calcolato in base alle strade percorse), il livello di attenzione (in base al numero e all’intensità delle accelerazioni e decelerazioni durante la guida), ecc.
Negli USA scatola nera in questione è usata da circa due milioni di automobilisti ma, a quanto pare, i progettisti non hanno previsto il benché minimo meccanismo di sicurezza informatica, permettendo a hacker malintenzionati di controllare facilmente varie funzioni. Collegando un computer portatile al dispositivo è possibile sbloccare e bloccare porte, avviare l’auto e ottenere informazioni. Ciò che il ricercatore ha a ogni voluto evidenziare non è ad ogni modo la possibilità di controllo dei veicoli ma la totale assenza di protezione in questo tipo di dispositivi: ha estratto con molta facilità il firmware dal dongle ed eseguito operazioni di reverse engineering per individuare falle.
Nella tecnologia sfruttata all’interno di questi dispositivi, creata dalla società Xirgo Technology, a detta del ricercatore, sono del tutto assenti i meccanismi di protezione contro possibili attacchi informatici (es. meccanismi che consentono di accettare solo firmware “firmati” digitalmente), non è previsto l’avvio in modalità sicura, sono sfruttati meccanismi di comunicazione non cifrati, non è impedita l’esecuzione di comandi dall’esterno e manca un minimo di protezione contro possibili attacchi. Sono ovviamente a rischio vari dati e la privacy dell’utente.
Come abbiamo riportato ieri, troppi produttori di dispositivi sottovalutano i rischi legati alla sicurezza informatica: implementare soluzioni di sicurezza non deve essere percepito come un aspetto facoltativo, bensì come un fattore indispensabile, poiché tali sistemi e innovazioni potrebbero essere oggetto di attacchi rischiosi per la vita personale di ogni utente.