A causa di una vulnerabilità nel computer di bordo di alcune automobili del gruppo Volkswagen, un attaccante potrebbe spiare i passeggeri del veicolo e conoscerne l’esatta posizione in tempo reale. La scoperta è stata fatta da Daan Keuper e Thijs Alkemade, esperti di sicurezza informatica e hacker etici dell’azienda Computest, i quali hanno studiato e testato l’in-vehicle infotainment (Ivi, il sistema di bordo delle automobili) della Volkswagen Golf GTE e dell’Audi A3 Sportback e-tron, scoprendo che a causa di alcune falle nella programmazione del software sarebbero stati in grado di prendere il controllo di alcuni sistemi informatici integrati nell’auto.
I due veicoli utilizzano varianti del software di bordo della software house Harman, azienda che fa parte del gruppo Samsung. Volkswagen ha ammesso l’esistenza delle falle e rassicurato sul fatto che sono stati rilasciati immediatamente degli aggiornamenti per correggere l’errore. Tuttavia non è chiaro se sia possibile aggiornare in remoto le automobili già vendute.
"La connettività Internet è una funzione diffusa nelle automobili - ha dichiarato Daan Keuper, coautore della scoperta -, anche se comporta rischi di cui sia il conducente sia il produttore non sono sempre consapevoli". I due ricercatori hanno avuto accesso al sistema dei veicoli attraverso la connessione WiFi di cui sono dotati. Secondo il report pubblicato dall’olandese Computest, in determinate condizioni, un hacker malevolo potrebbe ascoltare le conversazioni che avvengono dentro l’auto, attivare e disattivare il microfono e accedere alla rubrica e alla cronologia delle conversazioni del guidatore.
Inoltre, potrebbe scoprire la posizione del veicolo attraverso il sistema di navigazione e seguirne gli spostamenti in diretta. Keuper e Alkemade avrebbero anche ottenuto l'accesso ai privilegi di amministrazione del sistema, potendo così leggere i documenti contenuti nel dispositivo e potendo eseguire del codice attraverso il computer. In ogni caso per sfruttare queste vulnerabilità, l’attaccante deve utilizzare la connessione WiFi della macchina, che richiede di essere in prossimità del veicolo.
“Ormai qualsiasi nuova tecnologia è in grado di connettersi a Internet, e questo aumenta esponenzialmente il rischio di vulnerabilità informatiche - ha dichiarato ad Agi Davide Del Vecchio, esperto di informatica alla guida di un team che lavora per garantire la sicurezza di una nota multinazionale italiana -, e penso che nel 2018 vedremo la prima vittima diretta di questa esposizione”.
Con il crescere del ‘perimetro’ dei dispositivi digitali che vengono utilizzati ogni giorno, aumentano anche le possibilità che questi siano mal configurati o esposti ad attacchi imprevisti, come nel caso di un’automobile ‘smart’: “Il problema è che purtroppo, non conoscendo abbastanza il tema della sicurezza informatica, le persone non sono in grado di valutarne correttamente i rischi, e a volte neanche i produttori”.
Ma se finora la responsabilità è stata tutta a carico delle aziende che producono dispositivi dell’Internet of Things (IoT, ovvero capaci di connettersi), e all’intervento di hacker etici che avvisano le aziende quando individuano una vulnerabilità, “servirebbero delle certificazioni, come è stato nel caso dei bollini CE, almeno per quello che riguarda certi tipi di dispositivi in ambito medico o che coinvolgono infrastrutture critiche”.
Modellen #Volkswagen Group kwetsbaar voor #hackers. #Privacy van bestuurders in geding. Lees hier meer over ons onderzoek: https://t.co/n2dxRwyby4 pic.twitter.com/WBazx9O0WF
— Computest (@computest) April 20, 2018
La scoperta, fatta a luglio 2017, è stata rivelata solo in questi giorni per consentire alla casa automobilistica di prendere le dovute precauzioni, secondo quanto suggeriscono le consuetudini di ‘divulgazione responsabile’ che vigono nel mondo informatico. Una volta individuate le falle i ricercatori hanno preferito sospendere l’analisi del sistema per non incorrere in violazioni della proprietà intellettuale del software.
Allertata la Volkswagen, la stessa casa automobilistica ha dichiarato in una lettera inviata a Computest di aver aggiornato e corretto immediatamente le vulnerabilità per i veicoli in produzione. Secondo la società di sicurezza informatica però non ci sarebbe modo di aggiornare i veicoli già venduti: “sembra che le auto che sono state prodotte prima non vengano aggiornate automaticamente - si legge nel report - quindi sono ancora vulnerabili all'attacco descritto”.