''Hackeraggio'' cinese di Tesla, nuovi dettagli (e soluzioni)

Arriva finalmente la firma digitale del software di bordo.



[ZEUS News - www.zeusnews.it - 02-10-2016]

tesla modelX lugano redacted

Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
Tesla ''hackerate da remoto''? Non proprio

Ci sono nuovi dettagli, e una soluzione, a proposito dell'hackeraggio delle auto elettriche Tesla dimostrato la settimana scorsa dagli esperti cinesi di Keen Security Labs e discusso in questo mio articolo.

Come spiegato in dettaglio da Wired in inglese, gli esperti di Keen hanno iniziato l'attacco all'auto creando una rete Wi-Fi, assegnandole lo stesso nome (SSID Tesla Guest) e la stessa password della rete Wi-Fi offerta agli ospiti dai concessionari e dai centri di assistenza Tesla (la password è reperibile facilmente in Rete).* In sostanza, hanno fatto credere all'auto di essere connessa a un Wi-Fi ufficiale di Tesla e l'hanno forzata a usare questa connessione.

*Stefano, di Teslaforum.it, precisa che Tesla Guest è il nome del Wi-Fi al quale Tesla offre connessione libera da parte di qualunque dispositivo dei clienti ospiti, mentre il Wi-Fi usato per la manutenzione e l'assistenza tecnica è Tesla Service. Sottolinea inoltre che le auto Tesla non si connettono automaticamente a questi Wi-Fi: è necessaria una scelta specifica dell'utente.

La rete Wi-Fi ostile è stata configurata in modo da presentare alle Tesla che si connettevano una pagina Web contenente codice che sfrutta una vulnerabilità nel browser installato nel pannello comandi principale (il "tablet" centrale; specificamente, la vulnerabilità stava nella vecchia versione di WebKit usata da Tesla). Da qui gli esperti di Keen hanno sfruttato una vulnerabilità del kernel di Linux usato dalle Tesla per prendere il controllo del pannello comandi. A questo punto potevano mandare al browser qualunque clic o comando digitabile dall'utente, e questo ha permesso la maggior parte degli effetti mostrati nel video di Keen. Non è chiaro se questa possibilità di inviare comandi persista o duri solo per il tempo della connessione al Wi-Fi ostile.

Prendere il controllo del pannello comandi, però, non consente di avere il controllo pieno dell'auto: le funzioni vitali (frenata, sterzo, guida assistita) sono infatti gestite separatamente. Nelle Tesla, infatti, il pannello comandi è isolato dal sistema di controllo primario (il CAN bus) da un gateway.

Sondaggio
Scegli una risposta e poi leggi questa pagina.
E' nato prima il telefono
E' nato prima il fax

Mostra i risultati (2021 voti)
Leggi i commenti (8)

Gli esperti di Keen hanno quindi sostituito il software del gateway con una versione modificata da loro e hanno così preso il controllo pieno dell'auto. Non è chiaro se questa sostituzione sia avvenuta da remoto o tramite intervento fisico sull'auto: ovviamente se fosse necessario un intervento fisico la sfruttabilità di questa tecnica sarebbe molto minore di quella di un attacco via Wi-Fi.

Riassumendo, insomma, l'hackeraggio "da remoto" (così è stato presentato) richiede queste condizioni:

- l'auto-bersaglio deve essere a portata del Wi-Fi ostile almeno temporaneamente
- l'auto-bersaglio deve connettersi almeno una volta al Wi-Fi ostile (cosa che non avviene automaticamente ma solo su specifico comando del conducente o del tecnico di assistenza)
- l'auto-bersaglio deve usare almeno una volta il browser di bordo mentre è connessa al Wi-Fi ostile
- deve essere sostituito (non si sa se da remoto o no) il software del gateway dell'auto-bersaglio

Se sono soddisfatte le prime tre condizioni, è effettivamente possibile effettuare da remoto (anche via Internet, se l'auto resta connessa al Wi-Fi ostile) bruttissimi scherzi al conducente di una Tesla, come disattivare l'indicatore di velocità e tutte le indicazioni sul cruscotto, mettere al massimo il volume dell'impianto audio di bordo, chiudere gli specchietti durante la marcia, sbloccare le portiere, aprire il portellone posteriore e altro ancora. Se effettuati a sorpresa, questi comandi potrebbero facilmente spaventare o distrarre il conducente in modo da causare un incidente anche grave o mortale. Se viene soddisfatta anche la quarta, è finita: l'intruso può far frenare, accelerare o sterzare l'auto a proprio piacimento.

Certo, non si tratta di scenari molto plausibili e frequenti o di un attacco sfruttabile su vasta scala, ma la falla grave è senz'altro dimostrata.

Ti invitiamo a leggere la pagina successiva di questo articolo:
La soluzione di Tesla e il ruolo degli ''hacker''

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (4)

O forse sono gli ultimi passi prima di ricominciare da zero? :roll:
11-12-2016 16:58

O forse perché l'umanità si è scordata cosa sia, la civiltà? :) :) :) Leggi tutto
2-12-2016 09:25

{viridis}
Tesla sta diventando l'Apple delle automobili, un sistema chiuso e completamente accentrato, con qualche ponte levatoio verso l'esterno. Gli altri seguiranno l'esempio, e questo non mi piace affatto per ciò che implica. A parte questo, le case automobilistiche stanno giocando (sulla pelle degli utenti) con il fuoco:... Leggi tutto
19-11-2016 14:39

{alset}
Siamo ancora ai primi passi dell'informatica e ai primi vagiti dell'informatica su auto a guida (semi) autonoma. E' normale che salti fuori di tutto, mentre non è affatto normale che mentre salta fuori di tutto le auto vengano regolarmente vendute, con le conseguenze che ricadono sulla pelle degli utenti e dei terzi... Leggi tutto
1-10-2016 11:05

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quando cerchi un brano musicale, o un intero Cd, cosa fai più spesso?
Scarico il brano o il Cd su iTunes: costa poco ed è legale.
Scarico l'Mp3 con Torrent o eMule o altro servizio simile.
Ascolto la canzone in streaming (per esempio su Youtube), anche se non posso scaricare l'Mp3.
Vado nel mio negozio di dischi o maxistore preferito.
Altro.

Mostra i risultati (3556 voti)
Novembre 2021
L'app va in crash, e la Tesla non parte più
La Rete telefonica italiana agli americani di KKR
Se il furgone di Amazon ti tampona... la colpa è di Amazon!
Il Blue Screen of Death... ritorna blu
MediaWorld sotto attacco ransomware: hacker vogliono 200 milioni in bitcoin
SPID con le Poste, il riconoscimento adesso si paga
Facebook rinuncia ufficialmente al riconoscimento facciale
Ottobre 2021
Il Nobel ad Assange
Windows 11, finalmente si possono eseguire anche le app Android
FreeOffice 2021, la suite gratuita compatibile con Microsoft Office
Apple presenta i MacBook Pro con il notch
UE, addio all'anonimato per i domini Internet
Windows 11 è disponibile. Ecco come installarlo anche senza TPM
I disservizi di Facebook costano a Mark Zuckerberg 6 miliardi
Pesa di più una chiavetta USB piena di dati o una vuota?
Tutti gli Arretrati
Accadde oggi - 30 novembre


web metrics