Video: How to Hack a Car: Phreaked Out (Episode 2) (Settembre 2024)
L'hacking automobilistico ha fatto molti titoli di recente, anche se c'è stato solo un incidente documentato (che è stato un lavoro interno cinque anni fa).
Ora, l'attenzione si è rivolta ai dispositivi per auto collegati aftermarket che si collegano alla porta diagnostica di bordo II di un veicolo, nota anche come dongle OBD-II. I dispositivi sono in circolazione da diversi anni e consentono ai proprietari di veicoli fabbricati dopo il 1996 con una porta ODB-II di aggiungere connettività. Sono offerti da aziende che vanno dai grandi assicuratori automobilistici a una dozzina di start-up per tutto, dal monitoraggio degli stili di guida e del risparmio di carburante al monitoraggio degli adolescenti mentre sono al volante.
Tagliare i freni di una Corvette
Prima di una conferenza sulla sicurezza di questa settimana, i ricercatori dell'Università della California a San Diego (UCSD) hanno rivelato come sono stati in grado di hackerare in modalità wireless un dongle OBD-II collegato a una Corvette del modello tardivo. Hanno inviato messaggi SMS a un dispositivo che ha acceso i tergicristalli dell'auto e ha tagliato i freni. Mentre i ricercatori hanno notato che l'hacking dei freni può essere eseguito solo a basse velocità a causa del modo in cui il veicolo è progettato, hanno aggiunto che l'attacco potrebbe essere facilmente adattato a quasi tutti i veicoli moderni per assumere componenti critici come lo sterzo o la trasmissione.
"Abbiamo acquisito alcuni di questi, li abbiamo ingegnerizzati al contrario, e lungo la strada abbiamo scoperto che avevano un sacco di carenze di sicurezza", ha dichiarato Stefan Savage, un professore di sicurezza informatica dell'UCSD che ha guidato il progetto. I dongle "offrono molteplici modi per controllare da remoto… qualsiasi cosa sul veicolo a cui erano collegati", ha aggiunto.
I ricercatori dell'UCSD hanno avvisato Metromile della vulnerabilità del dongle a giugno e la società ha affermato che ha inviato in modalità wireless una patch di sicurezza ai dispositivi. "Lo abbiamo preso molto sul serio non appena l'abbiamo scoperto", ha dichiarato a Wired il CEO di Metromile Dan Preston.
Tuttavia, anche dopo che Metromile ha inviato la sua patch di sicurezza, migliaia di dongle erano visibili e ancora hackerabili, in gran parte perché venivano utilizzati dalla società di gestione della flotta spagnola Coordina. In una dichiarazione della società madre TomTom Telematics, Coordina ha affermato che ha esaminato l'attacco dei ricercatori e ha scoperto che si applica solo a una versione precedente dei dongle utilizzati dall'azienda. Ora è in procinto di sostituire un "numero limitato" di tali dispositivi.
La società ha anche osservato che il numero di telefono assegnato alle carte SIM nei suoi dispositivi non è pubblico e non può essere contattato tramite SMS, come nell'attacco dei ricercatori dell'UCSD. Ma i ricercatori hanno ribattuto che anche senza conoscere il numero di telefono di una carta SIM, i dongle sono sensibili agli attacchi di forza bruta inviando una raffica di messaggi di testo.
Mentre i recenti hack di auto di produzione hanno impiegato mesi per eseguire da remoto o richiesto l'accesso fisico al veicolo, le vulnerabilità di sicurezza dei dongle OBD-II connessi al cloud sono note da diversi mesi e sembrano essere molto più facili da hackerare. E il problema non è limitato ai prodotti per dispositivi mobili. A gennaio, il ricercatore di sicurezza Corey Thuen è stato in grado di hackerare il dispositivo Snapshot di Progressive, mentre i ricercatori della società di sicurezza informatica Argus hanno riscontrato difetti di sicurezza con il dispositivo Zubie OBD-II.
I ricercatori hanno notato che i potenziali hack non si limitano alla Corvette utilizzata nei loro test e che potrebbero presumibilmente dirottare lo sterzo o i freni di quasi tutti i veicoli moderni con un dongle Mobile Devices collegato al suo cruscotto. "Non è solo questa macchina ad essere vulnerabile", ha detto il ricercatore dell'UCSD Karl Koscher.
Come per le auto connesse di case automobilistiche, non è stato ancora documentato un hack dannoso di un veicolo con un dongle OBD-II. Ma i ricercatori ritengono che la minaccia sia reale e notano che, a differenza della connettività nelle auto di produzione, non esiste una supervisione del governo per i dispositivi aftermarket.
"Abbiamo un sacco di questi che sono già sul mercato", ha aggiunto Savage. "Dato che abbiamo visto un exploit remoto completo e queste cose non sono regolate in alcun modo e il loro uso sta crescendo… Penso che sia una valutazione equa che ci saranno problemi altrove."
"Pensaci due volte a ciò che stai collegando alla tua auto", ha avvertito Koscher. "È difficile per il consumatore normale sapere che il proprio dispositivo è affidabile o meno, ma è qualcosa a cui dovrebbero riflettere un momento. Questo mi espone a maggiori rischi?"
È una domanda che i consumatori connessi si pongono da anni e anche i conducenti che desiderano connettere la propria auto al cloud tramite il dongle OBD-II dovranno ora fare anche questa domanda.
