L'hacking remoto delle auto è ora una realtà | doug newcomb

Fino ad ora, le dimostrazioni di hacking di auto venivano fatte solo mentre i ricercatori della sicurezza erano collegati al sistema elettrico di un veicolo. Nel 2010 c'era solo un caso documentato di pirateria informatica a distanza nel mondo reale, ma quello era un lavoro interno di un impiegato scontento del concessionario, che ha murato oltre 100 veicoli sfruttando la tecnologia progettata per consentire il recupero remoto.

Ma all'inizio di questa settimana, due ricercatori della sicurezza che hanno reso l'esposizione delle vulnerabilità delle auto connesse in qualche modo una sorta di crociata hanno mostrato in modo drammatico e un po 'pericoloso come sono stati in grado di disabilitare in remoto i sistemi critici di una Jeep Cherokee del 2014 mentre il veicolo si trovava su un'autostrada di St. Louis. Charlie Miller, ricercatore di sicurezza su Twitter, e Chris Valasek, direttore della ricerca sulla sicurezza dei veicoli di IOActive, due anni fa hanno fatto notizia mostrando come potevano suonare il clacson, stringere le cinture di sicurezza, uccidere i freni e controllare il volante di una Ford Escape e una Toyota Prius dal sedile posteriore con laptop e una connessione fisica con i veicoli.

Il loro follow-up, ancora una volta con lo scrittore Andy Greenberg al volante, aveva lo scopo di spaventare le case automobilistiche e i proprietari di auto, dimostrando che i veicoli possono essere hackerati a distanza per causare il caos in autostrada. Mentre era seduto nel seminterrato di Miller a miglia di distanza, la coppia ha usato una vulnerabilità di sicurezza nel sistema di infotainment Uconnect del veicolo per far esplodere l'aria condizionata, sintonizzarsi su una stazione radio hip-hop e accendere il sistema stereo, accendere il tergicristallo e la lavatrice, e pubblicare un foto smagliante sul display del cruscotto di se stessi in tute coordinate.

Per portare a casa il loro punto sulle vulnerabilità delle moderne auto connesse, hanno disabilitato la trasmissione, causando la perdita di accelerazione della jeep in autostrada, con un semi-ribasso su di essa. Più tardi, in un parcheggio, disattivarono anche i freni della Jeep, facendola scivolare in un fossato con Greenberg al volante.

Spaventare le case automobilistiche in azione

Se leggere questo ti spaventa, questo è esattamente il punto degli exploit della coppia. Più specificamente, sperano di spaventare il pubblico e, a loro volta, di scuotere le case automobilistiche in azioni sulla sicurezza informatica. La loro ultima acrobazia pubblicitaria è un preludio alla presentazione della loro ricerca di hacking remoto alla conferenza sulla sicurezza di Black Hat a Las Vegas il mese prossimo, senza rivelare i dettagli agli hacker malintenzionati. Miller e Valasek hanno anche notificato Fiat Chrysler Automobiles mesi fa in modo che la casa automobilistica potesse emettere una patch per tutti i sistemi Uconnect interessati: ben 471.000 veicoli Chrysler, Dodge, Jeep e Ram equipaggiati con il sistema touch-screen U-Connect da 8, 4 pollici.

Miller e Valasek hanno alzato la posta in gioco e sono andati a distanza nel loro lavoro di auto-hacking, che è finanziato da una sovvenzione della DARPA (Defense Advanced Research Projects Agency), perché la loro dimostrazione di due anni fa "non ha avuto l'impatto con i produttori che volevamo ", Ha detto Miller a Wired . Molte persone coinvolte nell'industria automobilistica (compresa la tua veramente) si sono chieste se un hacker remoto di auto possa essere completato con successo, e ora Miller e Valasek hanno rimosso ogni dubbio.

Il recente lavoro di Miller e Valasek non è l'unica istanza di pirateria informatica a distanza. Questa settimana, i ricercatori in Inghilterra hanno trovato la strada nell'elettronica di un'auto attraverso la funzione radio Digital Audio Broadcasting (DAB) comunemente usata in Europa e in Asia che potrebbe consentire a un hacker di inviare codice dannoso per assumere un sistema di infotainment. La BBC ha riferito che "un utente malintenzionato potrebbe utilizzarlo come un modo per controllare sistemi più critici, inclusi sterzo e frenata". E a febbraio, l'equivalente tedesco dell'Auto Club ha riscontrato un difetto di sicurezza in alcuni veicoli BMW che potrebbe consentire agli hacker di sbloccare le porte da remoto, e BMW ha immediatamente inviato un aggiornamento software over-the-air (OTA) per risolvere la vulnerabilità.

Contromisure come gli aggiornamenti OTA stanno diventando più comuni, come ha dimostrato Tesla, e le case automobilistiche hanno cercato di stare al passo con la minaccia di auto-hacking assumendo esperti di sicurezza dedicati. Recentemente, anche gruppi industriali hanno formato un nuovo consorzio chiamato Auto Information Sharing Advisory Center (ISAC) per combattere le minacce informatiche.

Inoltre, al momento non vi sono molti incentivi per gli hacker di indirizzare le auto, oltre a fare scherzi dannosi. "Data la motivazione della maggior parte degli hacker, la possibilità è molto bassa", ha osservato Damon McCoy, assistente professore di informatica alla George Mason University e ricercatore di sicurezza automobilistica. E Valasek ha detto "ci vuole molto tempo e denaro" per realizzare ciò che lui e Miller hanno realizzato.

La minaccia dell'hacking automobilistico è stata paragonata alla nascente Internet 20 anni fa, quando i computer hanno iniziato a connettersi e i Black Hats hanno iniziato a denunciare e sfruttare le vulnerabilità. Aziende come Microsoft, a loro volta, sono state costrette ad andare sulla difensiva e rilasciare patch di sicurezza e persino premiare i nerd che hanno scoperto una vulnerabilità con "ricompense di bug".

Ma non è il 1995 e gli hacker sono più abbondanti e più sofisticati, e potrebbero esserci più auto connesse sulla strada ora che erano computer connessi due decenni fa. L'ultima tornata di hacking automobilistico aumenta notevolmente la posta in gioco. "Questo è ciò che tutti coloro che pensano alla sicurezza dell'auto si sono preoccupati per anni", ha affermato Miller. "Questa è una realtà."