«La verità? Sono l’unica che viene al lavoro in macchina. Ecco perché è stata scelta la mia come cavia». Ilaria Matteucci, del Cybersecurity Lab del Cnr a Pisa, racconta così l’inizio di un esperimento che ha portato a risultati preoccupanti. E chissà cosa sarebbe successo se lei e il suo collega Gianpiero Costantino avessero avuto per le mani un’auto più recente, una di quelle dove l’elettronica gestisce praticamente tutto. In un paio di mesi, i due ricercatori hanno sviluppato un programma chiamato Candy Cream capace di accedere al sistema digitale della macchina riuscendo a controllare da remoto l’apertura delle porte, le frecce, il tachimetro, il contagiri.

La falla è nel sistema operativo dell’autoradio, Android 6.0 di Google, lo stesso attivo su oltre 300 milioni di smartphone. Sistema versatile adoperato anche nei decoder tv, in alcuni mini computer, videocamere e, appunto, autoradio. «Una volta all’interno, qualsiasi strumentazione elettronica può esser manipolata», continua la ricercatrice. «La mia vettura ha un’età, tutte le parti vitali sono meccaniche. Ma se avesse avuto ad esempio la velocità automatica di crociera, è possibile che avremmo potuto controllare freno e acceleratore». Come è successo alla Carleton University in Canada, dove gli studenti dell’Information Technology Program ad aprile si sono introdotti nei sistemi di un’auto a guida autonoma e l’hanno fatta passare con il rosso.

Se il futuro è nella vettura connessa, l’esperimento di Matteucci e Costantino è un avvertimento. Originaria di Livorno lei, lui invece di Capo d’Orlando in Sicilia, hanno rispettivamente 38 e 35 anni. Con una laurea in matematica la prima, in informatica il secondo, si dedicano da anni a crittografia e sicurezza digitale. Essendo la rivoluzione dei veicoli smart già in atto, entro sei anni saranno circa mezzo miliardo quelli collegati al Web fra Europa, Cina e Stati Uniti, hanno deciso di cominciare a tastare il terreno. La falla di Android in realtà è nota, eppure si continuano a trovare dispositivi con questa vulnerabilità. Finché si tratta di un decoder poco male, con una macchina le cose cambiano.

«Nei modelli nuovi ogni funzionalità, dai freni al motore, è regolata da centraline elettroniche legate al Body Computer», spiega Costantino. «È il punto di accesso per diagnostica e aggiornamenti. L’auto in pratica è come una stanza piena di pc collegati fra loro attraverso un computer principale e fino a ieri la sicurezza era garantita dall’assenza di una connessione ad Internet. Oggi invece sempre più modelli sono collegati. Insomma: la stanza piena di computer, sulla quale viaggiamo, è stata aperta all’esterno con tutti i rischi del caso».

Non sono poi così diverse da un qualsiasi apparecchio smart: diverse funzioni si attivano via app dal telefono, sono dotate di sistemi intelligenti, dialogano con servizi web. E a volte la comunicazione con l’esterno non è nemmeno protetta dalla crittografia. Scenari catastrofici nei quali i soliti malintenzionati si impossessano a distanza di un camion per poi provocare una strage li hanno già dipinti in tanti. In realtà forzare i sistemi elettronici di una vettura ad alta tecnologia non è semplice.

Se la connessione al Web è superata dai sistemi vitali, come avviene sui voli di linea che offrono il collegamento alla Rete, bisognerebbe passare parecchio tempo nei pressi della macchina per sfruttare altre connessioni come wi-fi o bluetooth. «È vero, non è così semplice o immediato», conclude Ilaria Matteucci. «Ma qui il problema non è tanto il grado di probabilità di un attacco, quanto la possibilità di condurlo». Ora al Cnr stanno pensando di passare ad una nuova fase: prendersela con una vettura a guida autonoma.



Source link