Gli hacker al volante delle connected car?

hacker connected car

Le connected car stanno diventando realtà, più nei laboratori delle case automobilistiche e nei saloni che sulle strade. Ma, se è vero che ci sarebbero meno incidenti nel caso in cui tutte le autostrade e le automobili fossero smart (NHTSA degli Stati Uniti stima che la tecnologia potrà prevenire oltre mezzo milione di incidenti e oltre un milione di vittime ogni anno, solo negli Stati Uniti), non mancano le controindicazioni, come quella legata alla sicurezza. A confermarlo è Panda Security, che ha evidenziato i rischi per il settore partendo da uno spunto di Jonathan Petit durante la conferenza Black Hat Europe.

La capacità di queste macchine di comunicare tra loro rappresenta un problema per gli esperti di sicurezza, in quanto potrebbero diventare bersagli di cyber attacchi, se qualcuno fosse in grado di intercettare le comunicazioni e riuscisse a localizzare le vetture. Il mese scorso Petit ha mostrato come una semplice penna laser sia in grado di confondere una smart car, facendole credere di avere un ostacolo sulla strada, quando in realtà nulla era presente.

Le informazioni inviate da un’auto a un’altra sono crittografate e sono relative alla loro posizione e velocità. Non vengono inviati dati legati alla targa, ma ogni messaggio possiede una firma digitale per evitare false comunicazioni o incomprensioni che potrebbero provocare incidenti. Petit ha sfruttato la firma digitale per effettuare i propri test presso l’University of Twente nei Paesi Bassi. Ha posizionato due stazioni di “sniffing” (attività di intercettazione passiva dei dati che transitano in un network), in punti diversi del campus, dedicate alla raccolta di informazioni dalla rete. Ha parcheggiato anche un veicolo dotato di sistema V2X (vehicle-to-everything), in grado di recuperare i dati provenienti da veicolo a veicolo e da veicolo a infrastruttura.
Dopo due settimane, l’auto ha trasmesso oltre due milioni e mezzo di messaggi e le stazioni di sniffing ne hanno rilevati circa quarantamila, solo il 3% del totale. Con questi dati e con le firme digitali, Petit è stato in grado di identificare i veicoli, stimare dove fossero all’interno del campus con una precisione pari al 78% e risalire al luogo esatto con il 40% di successo.
Petit e il team di investigatori dell’University of Twente credono che i governi o i cyber criminali potrebbero utilizzare questo sistema su larga scala per monitorare tutte le automobili di una città. Con questa tecnica è semplice anche compromettere la sicurezza di connected e smart car, la quale consente di risalire a luogo, velocità e direzione delle vetture. Considerato che le stazioni hanno un costo di 511 euro, Petit reputa che per il momento l’unico metodo per effettuare questi attacchi sia con Raspberry Pi e radio Wi-Fi.

Per altri esperti, una possibile alternativa di difesa potrebbe essere quella di utilizzare pseudonimi diversi che cambino ogni cinque minuti per firmare i messaggi, nella speranza che i cyber criminali non siano in grado di identificare l’automobile e rintracciarla. Petit ha spiegato però che questo metodo implicherebbe solo un costo aggiuntivo del 50% per i cyber criminali, per la necessità di un numero maggiore di stazioni.
Proprio per scongiurare questi rischi, Petit sta collaborando con Ford, General Motors e altre case automobilistiche per sviluppare strategie di protezione delle connected car.

Lascia un commento

Top