Sono ormai diffussissime le auto smart, perennemente connesse alla rete come gli smartphone dei loro proprietari. La maggior parte di questa utilizza un protocollo nato nel lontano 1986, denominato CAN, Controller Area Network. Il sistema consente al meccanismo di controllo del veicolo di incamerare i dati riguardo gli stimoli esterni, di computarli e poi di manipolare le diverse componenti della vettura per reagire ai canali di input. Si tratta di un dispositivo che di fatto è utilizzato non solamente nelle auto connesse ad internet, ma anche in quelle munite di sensori: quindi freni “intelligenti”, airbag e ABS.
La scoperta
Il parere dell’esperto
Uno degli autori dello studio, Federico Maggi, ha spiegato a LaStampa che “non c’è nessuna autenticazione del mittente, chiunque può sovrascrivere i messaggi diretti ai sensori, fino a non farli più funzionare. Basta modificare i valori inviati, per generare un errore. E per errore si intende un messaggio diverso da quello previsto. Infine, se un dispositivo genera troppi errori, questo viene isolato dal sistema e non funziona più“. Insomma, un classico attacco Denial of Service pressoché impossibile da identificare, in tutto e per tutto fenomenologicamente identica ad un guasto.
Contromisure
È sufficiente, insomma, sfruttare una vulnerabilità della rete interna del veicolo o inserire una chiavetta USB nello stesso per poter assumere il controllo della stragrande maggioranza di sensori montati sulla macchina. Stando a quanto afferma Andy Greenberg su di un recente articolo di Wired, ci sarebbero due strade da intraprendere per risolvere il problema: “La prima è quella di non utilizzare più il protocollo CAN e passare ad altre tecnologie più costose ma più sicure. La seconda, è quella di isolare le porzioni del sistema, in modo che gli errori non arrivino al sensore, ma con effetti sulla velocità delle comunicazioni“. Al momento, sebbene allarmate, la maggior parte delle case automobilistiche non si è esposta sulla vicenda.
