Chris Valasek e Charlie Miller colpiscono ancora. Questa volta, la "vittima" è una Jeep Cherokee del 2014, hackerata sfruttando una falla del sistema infotainment Uconnect. A differenza della Prius e dell'Escape, violate due anni fa con un laptop collegato alla porta della diagnostica, i due esperti di cybersecurity si sono introdotti nella Jeep a dieci miglia di distanza, a Pittsburgh, intervenendo sui comandi della vettura mentre a bordo si trovava il giornalista Andy Greenberg, lo stesso del precedente esperimento.
Test controllato. L'hacking, pubblicato sull'edizione americana di Wired, era in fase di studio da mesi e la stessa FCA è sempre stata al corrente dell'iniziativa, al punto che è già pronta una patch in grado di risolvere il problema. Tuttavia, resta l'intento dimostrativo dei due esperti, intenzionati a rivelare una parte del loro lavoro durante la Black Hat, una conferenza di cybersecurity che si terrà in agosto a Las Vegas. Per quanto controllato, l'esperimento resta impressionante: Miller e Valasek sono riusciti a sfruttare un difetto della connessione cellulare per controllare trasmissione, freni e acceleratore della Jeep, attivandoli o disabilitandoli in remoto. I due spiegano di essere in grado di intervenire anche sullo sterzo (per ora "solo durante la retromarcia") e di tenere traccia delle coordinate Gps e della velocità della vettura, indicando la sua posizione su una mappa.
Vulnerabilità nell'accessibilità remota. Come lo stesso Valasek ha spiegato a Quattroruote in un'intervista pubblicata sul numero di febbraio 2015 (qui le dieci cose da sapere sul tema), anche stavolta l'attacco è stato possibile sfruttando l'accessibilità remota della vettura: oltre alla connessione a Internet o alla rete cellulare, infatti, i canali potenzialmente utilizzabili dagli hacker includono wi-fi, Bluetooth, radio wireless, funzioni keyless, smartphone, app di bordo e i sistemi di monitoraggio della pressione delle gomme. Nel caso della Jeep, ai due esperti è bastato conoscere l'IP della vettura, per poi entrare grazie alla connessione Sprint usata dal veicolo: secondo quanto riferiscono, l'hacking è possibile su "tutti i veicoli Chrysler dotati di Uconnect venduti dalla fine del 2013, nel 2014 e all'inizio del 2015".
La patch di FCA. Come detto, FCA era stata informata dell'iniziativa. La patch risolutiva è già pronta e lo stesso Gruppo ha diffuso una nota ad hoc relativa all'update software, in grado di "aumentare la sicurezza elettronica dei veicoli e quella del sistema di comunicazione. Simile allo smartphone o a un tablet – spiega il Gruppo – il software del veicolo richiede aggiornamenti per migliorare la protezione e ridurre i rischi di accessi illegali e non autorizzati". Il fix per Uconnect può essere scaricato dagli stessi clienti e installato tramite una chiavetta USB, eventualmente anche dai concessionari a costo zero. Nel proprio blog, FCA North America ha spiegato che i veicoli che necessitano di un aggiornamento sono solo quelli dotati del sistema da 8.4": l'elenco vede diversi Ram (1500, 2500, 3500, 4500/5500) del 2013-2014, Grand Cherokee my 2014, Cherokee my 2014, Durango my 2014, la Viper 2013-2014 e "alcune Chrysler 200s" my 2015. "Per quanto ne sappiamo - è la sottolineatura - non c'è stato un solo incidente nel mondo reale dovuto a una violazione illegale o non autorizzata in un veicolo FCA".
La legge anti-hacker. La notizia della Jeep "hackerata" arriva proprio nei giorni in cui i senatori Ed Markey e Richard Blumenthal hanno presentato una proposta di legge per proteggere i veicoli e i dati degli automobilisti dagli attacchi digitali: il testo, chiamato "Security and Privacy in Your Car Act", intende imporre nuovi standard federali e un sistema di valutazione che permette ai clienti di sapere quanto sono efficaci le difese digitali della vettura, anche rispetto alla concorrenza. Sempre qui sono riassunti i passi precedenti della vicenda, con l'analisi-denuncia di Markey, sviluppata a partire dal 2013 con richieste di informazioni a venti Costruttori diversi, tra cui la stessa FCA, Ford, GM, Honda, Hyundai, Jaguar Land Rover, Mazda, Mercedes-Benz, Mitsubishi, Nissan, Porsche, Subaru, Toyota, Volkswagen e Volvo.
COMMENTI([NUM]) NESSUN COMMENTO
Per eventuali chiarimenti la preghiamo di contattarci all'indirizzo web@edidomus.it
