L’Internet of things avanza, sia nel mondo che in Italia, e abbiamo parlato tante volte degli enormi benefici che individui e comunità riceveranno dalla connessione a internet degli oggetti che utilizziamo nella nostra vita quotidiana, dagli elettrodomestici alle automobili.
Questo però non deve far dimenticare che, proprio per il fatto di interagire con la rete, questi oggetti – se non opportunamente protetti – diventano vulnerabili ad azioni di hacker e malintenzionati: dalla sottrazione dei dati al comando a distanza. A proposito di automobili, questo rischio si presenta in particolare per le Smart Car, le auto connesse a internet. Proprio recentemente 1,4 milioni di di Jeep Cherokee prodotte dal 2013 sono state richiamate per una falla nella sicurezza del sistema Uconnect di Fiat Chrysler Automobiles (FCA), che teoricamente apre l’accesso ai controlli delle vettura.
Ed è di un paio di giorni fa la notizia che un team di ricercatori della sede di San Diego della University of California si è “impadronito” di una Corvette semplicemente inviando un messaggio di testo a una periferica collegata al sistema di diagnostica della vettura. Per la precisione i ricercatori, spiega in un articolo il CorCom, sono entrati tramite la sempre più diffusa “black box” con cui le auto comunicano alla sede aziendale o all’assicuratore dati come le distanze percorse e i consumi di carburante.
Per dare un’idea del problema, in Italia sono già in circolazione 4,5 milioni di vetture dotate di sistemi di questo genere, e di recente il governo USA ha stabilito che tutte le istituzioni federali con flotte oltre i 20 veicoli dovranno dotarsi di periferiche simili per monitorare efficienza e consumi delle auto. I ricercatori sono entrati nel sistema con un sms e sono riusciti ad abbassare i finestrini della macchina, ad attivare i freni e persino a disattivarli con il mezzo in movimento a bassa velocità. Ma secondo la ricerca è possibile addirittura accedere al volante, alle chiusure delle portiere, e ad altri meccanismi di bordo estremamente critici per la sicurezza.
«Abbiamo comprato alcune periferiche, le abbiamo studiate attraverso il reverse engineering e abbiamo trovato un’enorme quantità di lacune sul piano della cybersecurity», spiega Stefan Savage, docente di Information Security e a capo del progetto di ricerca della California University. L’hardware che è stato violato è prodotto dall’azienda francese Mobile Devices e distribuito dalla compagnia di assicurazione statunitense Metromile come parte di una polizza pay-per-mile, ovvero con prezzo legato alle miglia percorse dal cliente.
Lo studio dell’Università della California ha evidenziato che per esempio anche Zubie, un device offerto dall’assicuratore Progressive, è vulnerabile in modo analogo a quello di Mobile Devices. Mobile Devices e Metromile sono state avvisate della vulnerabilità a giugno e hanno sviluppato delle patch che saranno distribuite a breve.
In generale però il vero problema è che nella “connected car” alla crescente complessità dell’elettronica di bordo spesso non corrisponde una dotazione di sistemi di sicurezza all’altezza. Le auto di fascia alta oggi sono dotate di un centinaio di controller che gestiscono automaticamente la sicurezza (fisica), le prestazioni del veicolo, l’infotainment e le interfacce utente. Si tratta di una potenza di calcolo che secondo McKinsey è comparabile a quella di 20 Pc.
Al momento ci sono circa 27 milioni di ”connected car”, un numero destinato a triplicare entro il 2022 secondo la società di analisi specializzata Ihs Automotive, per un giro d’affari che passerà dagli attuali 30 miliardi di dollari ai 170 miliardi del 2020. Uno sviluppo quindi estremamente promettente, a patto però che i costruttori e gli altri operatori coinvolti riservino l’attenzione necessaria ai sistemi di protezione contro hacker e cybercriminali.