L’introduzione di dispositivi ICT nelle auto, come l’assistente di guida e di parcheggio, la connettività Internet, e in generale tutte le caratteristiche cyber-physical installate nelle auto, potrebbero comportare dei rischi in termini di sicurezza e di privacy dei dati del guidatore, paragonabili a quelli ormai noti dei personal computer.
Uno fra i tanti, è la possibilità di conoscere le informazioni personali e i dati relativi al veicolo, quali consumo del carburante, livello dell’olio, funzionamento del freno a mano, e così via, resi volontariamente ed illegalmente pubblici all’esterno o rubati attraverso attacchi informatici ai sistemi di comunicazione del veicolo.
I rischi di un attacco alla rete dell’auto
Infatti, accedendo alla rete di comunicazione interna dell’auto (Controller Area Network – Can bus) è possibile leggere i dati che vengono scambiati tra le centraline, modificarli, replicarli e/o bloccarli, causando così vari problemi; dai più lievi, come fornire al guidatore un’informazione sbagliata relativa a qualche dato di consumo del veicolo, fino a manomettere i freni dell’auto bloccando i messaggi prima che questi giungano alle centraline.
Difatti, la possibilità di ottenere da remoto informazioni sensibili inerenti alla rete di comunicazione interna dell’auto (utilizzo dei freni, dell’acceleratore, dell’ABS e così via) apre una pletora di scenari inimmaginabili solo fino a qualche anno fa. In realtà lo standard CAN, disponibile obbligatoriamente dal 1996 sulle autovetture, fu progettato come un protocollo atto a scambiare dati su una rete “chiusa”, ovvero senza aperture verso l’esterno: l’introduzione massiva di sistemi ICT nei veicoli moderni ha reso questo sistema non chiuso, rendendo vulnerabile una infrastruttura che, data la sensibilità delle informazioni atta a trasmettere, definire “critica” è decisamente riduttivo: ha fornito quello che in gergo tecnico viene chiamato “vettore d’attacco”.
Guidatori e passeggeri sono quindi effettivamente in balia delle informazioni trasmesse attraverso i sensori dei propri veicoli ma, a differenza di quando un’applicazione viene compromessa o si blocca, in questo caso la minaccia è decisamente tangibile, in quanto può impattare immediatamente sul benessere fisico del guidatore e dei passeggeri, ma addirittura anche di ignari passanti.
La sicurezza dei veicoli connessi
Nel 2013, oltre 1 miliardo di sensori sono stati venduti all’industria automobilistica, raddoppiando i livelli del 2009 e le soluzioni di connettività integrate sono apparse nel mercato nel 2014. Di conseguenza, sorgono serie preoccupazioni in merito, tra l’altro, alla privacy e alla sicurezza degli ecosistemi automobilistici e alle norme correlate.
Un veicolo collegato può tracciare il comportamento generale del conducente, comprese le informazioni sulla posizione, lo stile di guida e i parametri aggiuntivi del viaggio, come risparmio di carburante e parametri più sensibili dal punto di vista della privacy, come la rubrica di un telefono cellulare, informazioni sulla posizione di casa.
Pertanto, la sicurezza è diventata un problema serio parlando di veicoli connessi.
Esempi di attacchi alla sicurezza dei veicoli
Ricordiamo di seguito i più noti attacchi di cyber-sicurezza che sono stati perpetrati ai veicoli come dimostrazione delle vulnerabilità dei veicoli connessi:
- Nel mese di luglio 2015, la rivista WIRED ha riportato la notizia di un dirottamento perpetrato a Jeep Cherokee. Infatti, i due hacker sono stati capaci di regolare a distanza l’aria condizionata, controllare la radio e i tergicristalli, e addirittura guidare l’automobile al posto del conducente. Gli hacker hanno sfruttato la connessione Internet del sistema di infotainment U-Connect del veicolo, attraverso il quale il produttore dell’auto può aggiornare il software via etere. La mancanza di controlli di sicurezza del sistema U-Connect ha permesso il caricamento di una versione malevola del software, grazie alla quale è stato possibile il controllo remoto del veicolo. Questo fatto è stato pubblicato pochi giorni dopo l’emissione di una multa di 70M di dollari che Fiat Chrysler Automobiles (FCA) ha accettato di pagare alla National Highway Traffic Safety Administration (NHTSA) relativa alla gestione delle campagne di richiamo dei veicoli negli Stati Uniti.
- Dopo meno di dieci giorni, anche General Motors (GM) è stata vittima di un problema di carjacking. Uno sviluppatore software di 29 anni ha escogitato un modo per attaccare le auto GM utilizzando una versione rivisitata del sistema OnStar, integrato in molte auto GM, che consente ai proprietari di sbloccare a distanza o avviare la propria auto attraverso un’APP o un servizio telefonico.
La versione manomessa, chiamata OwnStar, permetteva all’hacker di localizzare, sbloccare e avviare un veicolo GM semplicemente attaccando un dispositivo da qualche parte sulla macchina vittima. Così, ogni volta che il proprietario dell’auto esegue l’APP mobile OnStar all’interno del raggio di portata del veicolo, il software OwnStar posizionato sull’auto rivela tutti i tipi di informazioni preziose all’hacker.
Software sicuro per auto connesse, le regole per renderlo “a prova di hacker”
Candy, prove di attacco al sistema Android Infotainment
Le auto che utilizzano l’In-Vehicle Infotainment (IVI) basato sul sistema operativo Android (il più diffuso al mondo tra smartphone e tablet) e connesse al CAN bus dell’auto, possono fornire dei punti d’accesso ad utenti o processi non autorizzati. A tal proposito, l’installazione di applicazioni non provenienti da store ufficiali potrebbero nascondere dei malware che permettono l’accesso remoto al dispositivo di infotainment.20
Per studiarne gli effetti, è stato sviluppato un malware, che sfruttando un meccanismo di diffusione di social-engineering, viene installato nel veicolo vittima ed accede ai servizi, come microfono interno dell’auto, telecamere di parcheggio, posizioni GPS, e rete CAN in modo non autorizzato.
Il malware sviluppato è composto da due parti:
- un attacco di tipo “cavallo di Troia” (Trojan Horse attack) per accedere da remoto a tutte le informazioni memorizzate nell’In-Vehicle Android Infotainment system del veicolo vittima;
- un attacco di “sniffing” delle informazioni circolanti sulla rete CAN successivamente usate per riconoscere il guidatore dell’auto vittima. In particolare, l’applicazione è stata sviluppata e testata su un’autoradio Bosion Android Radio con sistema operativo Android 4.4 KitKat. L’autoradio è connessa sia alla rete CAN dell’auto attraverso un CAN bus-decoder, sia ad Internet attraverso una connessione Wi-Fi ed una chiavetta 3G.
Come è possible sfruttare le vulnerabilità della rete
Una volta ottenuto l’accesso al sistema di infotainment e alla rete CAN, è possibile sfruttare le vulnerabilità della rete così come le informazioni ottenute per perpetrare nuovi attacchi e ledere la sicurezza, la privacy e la salute del guidatore. Ad esempio, è possibile profilare il guidatore solo dalla lettura e la raccolta dei dati dell’auto circolanti sulla rete CAN. Infatti, sfruttando la connessione remota ottenuta con il malware, l’attaccante è in grado di scaricare le informazioni che circolano sulla rete CAN bus relative alle caratteristiche del veicolo. Questo è possibile sfruttando una vulnerabilità della rete CAN, in cui i messaggi con le informazioni utili per il corretto svolgimento delle funzionalità dell’auto, passano da una centralina all’altra in chiaro, cioè senza nessun meccanismo di crittografia che ne garantisca la riservatezza e confidenzialità rispetto ad un possibile lettore esterno. La raccolta di tali informazioni, oltre alla lesione della privacy, porta anche altre conseguenze.
Le conseguenze di un attacco alla rete Infotainment
Difatti, una volta elaborati, tali dati possono produrre delle informazioni derivate altamente sensibili. Una fra tante è la profilazione del conducente attraverso un classificatore: a guidatori diversi corrisponderanno stili di guida diversa e conseguentemente diversi valori dei parametri in osservazione. Una volta addestrato il classificatore, è possibile sottoporgli una traccia di guida di un utente e riconoscere chi sta guidando con una precisione maggiore all’85%. Questo tipo di risultato può essere utile nell’ambito del mondo assicurativo, dove poter riconoscere il conducente dell’auto in caso di incidente, potrebbe portare a nuove modalità di polizze con premi assicurativi calcolati in base al livello di rischio del guidatore. Un’altra applicazione potrebbe essere in caso voler fornire sconti, ad esempio in autostrada o nelle stazioni di servizio, ai guidatori che hanno una guida giudicata poco rischiosa.
Altri tipi di attacco
Inoltre, altri tipi di minacce, attualmente in fase di sperimentazione, potrebbero dare vita ad un attacco di tipo DoS (acronimo di Denial of Service), il cui scopo è quello di rendere non disponibili delle risorse o servizi normalmente accessibili dall’esterno. Con tale attacco è possibile disabilitare sistemi di sicurezza vitali come l’airbag, il freno o il servosterzo. L’attacco, consisterebbe nell’inviare una serie di informazioni sul “canale trasmissivo” del CAN bus, in questo modo le informazioni, che devono normalmente transitare, o non vengono proprio trasmesse o comunque arrivano a destinazione in ritardo. Infatti, da progettazione il protocollo CAN prevede la trasmissione di un’informazione per volta nel medesimo istante temporale, ergo “bombardando” di informazioni inutili il canale si creano ritardi nella trasmissione (attivazione dei freni in ritardo) fino al blocco totale dello scambio delle informazioni (segnale di attivazione airbag non pervenuto).
Infine, l’attacco DoS potrebbe essere affiancato da un attacco che utilizza un ransomware, una categoria di malware che cifra i dati degli utenti promettendo di renderli di nuovo disponibili in seguito al pagamento di un riscatto, tipicamente in bitcoin. In questa maniera, è possibile ottenere uno scenario in cui il sistema di infotainment, anziché mostrare le informazioni richieste, ad esempio la stazione radio su cui il guidatore è sintonizzato, richiede l’invio di una somma ingente di denaro su un conto bancario, pena la non accensione dell’autovettura o l’eventuale mancato funzionamento di un suo qualche sensore.
Guida al ransomware: cos’è, come si prende e come rimuoverlo
