Tesla ''hackerate da remoto''? Non proprio



[ZEUS News - www.zeusnews.it - 23-09-2016]

tesla Attivissimo

In breve

Sono a corto di tempo, per cui scrivo giusto due righe per evitare che si diffondano bufale: sì, gli esperti di Keen Security Lab hanno pubblicato un video nel quale sembrano mostrare un attacco informatico nel quale prendono il controllo da remoto di una Tesla Model S, per esempio aprendone le portiere e il bagagliaio, comandandone gli schermi del cruscotto e riuscendo addirittura a far frenare l'auto di colpo mentre è in movimento.

Spettacolare, certo, ma non è un vero e proprio "hackeraggio da remoto": serve infatti comunque la collaborazione attiva del conducente, che deve connettere l'auto a una specifica rete Wi-Fi (cosa che non succede mentre si è in giro), per cui non si tratta di una tecnica che consente di prendere facilmente il controllo a distanza di un'auto Tesla qualsiasi.

Molte testate giornalistiche che stanno raccontando la scoperta omettono di precisare questo particolare, forse per incompetenza o forse per pompare la notizia: fra quelle che ho visto fin qui fa felice eccezione The Verge.

Tecnicamente è un risultato notevole, comunque, rispetto agli attacchi precedenti che richiedevano lo smontaggio del cruscotto, e sottolinea il problema di fondo di tutte le auto interconnesse: il rischio che la connessione sia sfruttabile per sabotarle. Questa vulnerabilità è già stata risolta con un aggiornamento software (versione 7.1 release 2.36.31) diffuso automaticamente a tutte le Tesla.

Spero di potervi raccontare tutti i dettagli nelle prossime ore.

In dettaglio

L'articolo originale di Keen Security Lab (che fa parte del colosso cinese Tencent) è decisamente reticente: la cosa più interessante che dice è che l'attacco compromette il CAN bus, il sistema che controlla molti dei componenti essenziali dell'auto.

Altri articoli, per esempio su Ars Technica e il già citato The Verge, spiegano qualche dettaglio in più: l'attacco realizzato da Keen sfrutta un bug nel browser della Tesla. Questo bug richiede che l'auto sia connessa a un hotspot Wi-Fi ostile e che contemporaneamente il conducente effettui la ricerca della stazione di ricarica più vicina tramite il pannello di comando centrale dell'auto.

The Verge pubblica una conferma inviata da Tesla, che dice appunto che "Il problema dimostrato viene innescato soltanto quando viene usato il browser web e inoltre richiede che l'auto sia fisicamente vicina a un hotspot Wi-Fi ostile e sia connessa ad esso" e aggiunge che i ricercatori di Keen, avendo agito responsabilmente (contattando Tesla senza pubblicare i dettagli della vulnerabilità), riceveranno una ricompensa secondo i parametri del programma bug bounty (ricompensa per i bug scovati) introdotto da Tesla per incoraggiare questo tipo di ricerca.

Sondaggio
Durante un lungo viaggio in treno o in aereo, che cosa preferisci fare?
Ascoltare la musica
Chiacchierare coi vicini
Dormire
Giocare (con il notebook, il tablet, lo smartphone ecc.)
Guardare un film o una serie Tv
Guardare il panorama... o le hostess
Lavorare al computer
Leggere un libro, o un ebook
Navigare su Internet (vale solo in treno)
Telefonare (vale solo in treno)

Mostra i risultati (2396 voti)
Leggi i commenti (6)

Stefano, di Teslaforum.it, mi spiega che nell'uso normale una Tesla si collega a una rete Wi-Fi soltanto in due situazioni: quando è a casa del proprietario (l'auto ha il GPS e quindi "sa" sempre dove si trova e si collega al Wi-Fi del proprietario) e quando si trova presso un centro di assistenza Tesla (nel qual caso si collega al Wi-Fi del centro di assistenza). A parte queste due occasioni, mi dice Stefano, l'auto di norma resta collegata tramite la connessione cellulare 3/4G integrata (e inclusa nel prezzo) e l'unica operazione che si può fare solo via Wi-Fi è l'aggiornamento delle mappe.

In pratica, quindi, l'attacco descritto da Keen è realizzabile soltanto in condizioni decisamente insolite e richiede la collaborazione coordinata di una persona a bordo dell'auto, per cui non si può definire remoto in senso stretto e non è certo automatico o sfruttabile su vasta scala. Si tratta comunque di una vulnerabilità importante, per cui è bene che sia stata scoperta e risolta.

La parte più interessante (e preoccupante) è la compromissione del controllo dei freni: la tecnica effettivamente usata è tutta da confermare, ma un altro utente di Teslaforum.it, [email protected], sottolinea che tutti gli effetti mostrati nel video sono ottenibili comandando appositamente il pannello comandi (la MCU o Media Control Unit, in pratica l'"iPaddone" centrale), e che esiste una funzione di frenata d'emergenza attivabile tramite questa MCU, per cui non è da escludere che l'attacco non abbia realmente preso il controllo del cuore informatico dell'auto (il CAN bus, appunto) ma abbia raggiunto soltanto (si fa per dire) il pannello comandi, che in realtà è indipendente e fortemente isolato dalle funzioni centrali. Se così fosse, l'attacco sarebbe molto meno grave di quel che sembra a prima vista.

Paradossalmente, la risoluzione rapida del difetto mostra che il punto debole delle auto connesse (la connessione dati, appunto) è anche il punto di forza che consente di rimediare alle falle diffondendo immediatamente a tutte le auto un aggiornamento correttivo.

Fonti aggiuntive: The Hacker News, Electrek.

Ti invitiamo a leggere la pagina successiva di questo articolo:
''Hackeraggio'' cinese di Tesla, nuovi dettagli (e soluzioni)

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (2)

In effetti quello descritto da drive onza è uno scenario molto plausibile e probabile purtroppo. :roll:
7-10-2016 19:16

{drive onza}
Il problema è che ci saranno sempre bug di qualche tipo, sia nel software che nel firmware, e ci saranno difetti di progettazione hardware, anche quando le AI prenderanno il posto degli umani nella progettazione (e sicuramente anche quando le comunicazioni quantistiche "non intercettabili" saranno una realtà... Leggi tutto
24-9-2016 11:56

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Qual è la cosa che ti spaventa di più tra queste?
(Confronta i risultati con i timori degli abitanti negli USA nel 2014)
La clonazione della mia carta di credito.
Essere vittima di furto di identità.
Un attentato terroristico nella mia città.
L'accesso al mio conto bancario online da parte di malintenzionati.
Essere colpito da un malware informatico.
Un'epidemia sanitaria come l'ebola o l'aviaria.
La difficoltà a tirare avanti finanziariamente.
L'aumento del crimine.

Mostra i risultati (2053 voti)
Settembre 2019
Gli USA scaricano Huawei e sui portatili arriva Linux Deepin
Falla nelle SIM, vulnerabili 1 miliardo di telefoni
La Francia non vuole Libra in Europa
Il bug di Windows 10 che tinge di rosso gli screenshot
Antibufala: le foto di raggi spaziali che causano incendi nei boschi
Lo smartphone etico attento alle persone e al pianeta
Storie di hacker, campeggi e libertà
USB 4 è ufficiale e raggiunge i 40 Gbit/s
5 consigli (più uno) per non farsi lasciare a piedi dal PC
La lotta al ransomware procede silenziosa ma con successo
La maledizione dei connettori USB
Agosto 2019
GIMP è un insulto: sviluppatori ribelli fondano il fork Glimpse
Sextortion, il malware che registra davvero chi guarda video a luci rosse
Misteriosa malattia colpisce i fumatori di sigarette elettroniche
L'analisi del sangue che predice quando moriremo
Tutti gli Arretrati


web metrics