Siamo sicuri di volere l'auto ultraconnessa? Hacking a Jeep Cherokee

[loric]

La differenza è che BMW ha upgradato i loro serve via https, non ha richiamato auto. E`una falla molto più marginale (l'avevo letta bene, è stupida proprio, falla da principianti), quella della FCA è più complessa da mettere in atto ma è anche più difficile fixare e probabilmente richiederà il richiamo sulle auto senza SIM, ovvero senza possibilità di fare aggiornamento OTA!

Ad ogni modo, fonte omniauto e tutti i blog USA

I dettagli dell'acheraggio dell'uConnect li conosceremo a breve, ma se è vero che la vulnerabilità può essere presente in tutti i modelli di Cherokee, è altrettanto vero che è sfruttabile da remoto solo se è presente ed attiva una connessione via rete cellulare.

E, su questo punto, io faccio veramente fatica a capire l'utilità per chi guida di un'auto sempre connessa. Tolto lo scambio dei dati sul traffico ed i tempi di percorrenza, che in abbinata ad un navigatore ha una funzione ed uno scopo, il tutto si riduce a feature che servono solo a fare figo, con l'effetto collaterale certamente non secondario di introdurre in uno strumento particolarmente delicato qual è l'automobile, problemi di sicurezza informatica che possono diventare problemi di sicurezza stradale. Il trade off fra "figaggine" e sicurezza *fisica* di chi guida e di chi si trova su strada, IMHO, è chiaramente tutto spostato sulla seconda.

[Cosimo]

Lista del daily mail delle auto che sono state hackerate. Vista la componentistica temo che il problema rischi di diventare piuttosto diffuso

Jeep Cherokee, Ford Fusion, BMW X3, Chrysler 300, Range Rover Evoque, Toyota Prius, Audi A8 BMW 3 Series, Dodge Viper, 2014 Honda Accord LX, 2010 Range Rover Sport.

[Guest EC2277]

[…]

Vista la componentistica temo che il problema rischi di diventare piuttosto diffuso

[…]

Infatti codesto è il vero problema: l'U-connect non è una tecnologia sviluppata dalla Jeep, ma è una tecnologia adottata dal Gruppo FCA ed è molto probabile che venga adottata anche da altri gruppi (magari con un nome commerciale diverso), con il risultato di rendere il problema molto più diffuso di quanto si pensi.

Insomma non è che si può dire: «Non compro una vettura con l'U-connect e sono a posto», poiché quello stesso problema potrebbe presentarsi anche su una Toyota, su una Ford, su una Jaguar…

[Ospite]

Continuo a pensare che sia un problema di sprovvedutezza dei costruttori, soprattutto.

Ti impegni a mettere su un ambaradan di infrastruttura media, non ti preoccupi di proteggerla in alcun modo da ingressi esterni.

Vabbè.

[Cosimo]

Il fatto che abbiano sottovalutato il problema è palese, il fatto che rompiamo le scatole x la privacy, salvo postare poi foto anche quando andiamo in bagno però sta diventando una pericolosissima abitudine.

Da noi l'anno scorso han fatto rapine in casa guardando le foto dei tipi in vacanza su FB

[loric]

Continuo a pensare che sia un problema di sprovvedutezza dei costruttori, soprattutto.

Ti impegni a mettere su un ambaradan di infrastruttura media, non ti preoccupi di proteggerla in alcun modo da ingressi esterni.

Vabbè.

Qualsiasi dispositivo informatico esposto su Internet è a rischio di attacco. Dal PC al router di casa ai c.d. "smart appliances". Non vedo perché dovrebbe essere diverso con le auto.

Il mio server domestico è giornalmente interessato da tentativi di accesso non autorizzati da parte di macchine compromesse. Ho messo su un sistema che, in automatico, inserisce gli host usati per gli attacchi in blacklist per i servizi esposti su Internet, nonché in blocco attraverso il firewall. Ogni tanto mi diverto a controllare cosa c'è dietro gli IP che attaccano il mio serverino. Mi sono ritrovato un paio di volte tentativi di accesso provenienti da centraline di controllo di impianti fotovoltaici. Questo significa che qualcuno, da qualche parte, ha compromesso quei dispositivi. Sto aspettando il primo caso di tentativo d'accesso da parte di una lavatrice "smart"

Tornando al topic, io non credo che la sprovvedutezza dei costruttori si sostanzi nella mancata implementazione di sistemi di difesa (firewall, IDS, etc.), ma nell'esporre in rete i sistemi delle auto. E' pericoloso. E non pericoloso nel senso informatico, non stiamo parlando di una smart TV che, nella peggiore delle ipotesi, può essere usata come zombie per attacchi contro bersagli terzi o per spiare tizio quando si guarda i pornazzi. Un'automobile, se qualcuno smanetta coi suoi sistemi elettronici, può facilmente causare incidenti con esiti anche gravissimi. Ripeto: il vantaggio di poter accendere da casa con l'iPhone il climatizzatore dell'auto nelle giornate di canicola, così da poter salire in un'auto già fresca, scompare di fronte ai rischi di cui stiamo parlando, rischi che, come dimostrano gli esempi sopra riportati, sono tutt'altro che teorici.

Modificato 23 Luglio 2015 da loric

[Indav]

Sapete, il problema è che oggi i costruttori, pur volendolo, non possono assolutamente non impiantare sulle auto dei sistemi di infotaintment avanzati, dato che, ovviamente, ora tutte le scelte vengono dettate dal mercato e dal "popolo" (e dai loro smartphone). Il progresso tecnologico è qualcosa di irrefrenabile ed irreversibile a cui non possono opporsi. L'unica cosa che devono assolutamente fare è studiare dei modi per non permettere ad hacker e gente malintenzionata di hackerare questi sistemi e di poter addirittura controllare un veicolo a distanza. Si parla ora come non mai di sistemi sempre più avanzati che ci stanno notevolmente avvicinando alla frontiera della guida autonoma, ma, dopo aver visto e sentito ciò che è successo con questa Jeep (che non ha sto grande infotaintment, almeno non pari a Mercedes o BMW), mi rendo conto che sarebbe un vero pericolo far circolare dei veicoli che fan tutto soli senza aver prima studiato dei sistemi anti-hackeraggio.

[Guest EC2277]

La connessione ad internet dei sistemi elettronici veicolari è in funzione della possibile creazione di un sistema di viabilità basato su automobili a guida assistita, supervisionate da un sistema di controllo del traffico centrale. Per ottenere ciò è necessario che il sistema d'infotainement s'interfacci con tutti gli altri dispositivi elettronici di guida; dall'acceleratore al freno.

In pratica si sta procedendo per gradi: prima s'implementano dei sistemi relativamente semplici, se ne risolvono le problematiche e si realizzano sistemi via via più complessi, fino alla creazione dell'auto a guida remota; forse.

Per ora il problema principale è stato far funzionare tali dispositivi. Ora si sta palesando un nuovo problema: renderli sicuri anche da incursioni informatiche.

[RVC]

FCA rischia di dover ritirare mezzo milioni di veicoli per aggiornamento SW.

Figura di m internazionale e rischio enorme perdita economica

il rimedio a quel problema era pronto ancora prima che uscisse l'articolo, visto che i due tipi hanno sempre condiviso le loro ricerche e i loro risultati con FCA. Il SW update è disponibile sul sito della FCA, basta apscaricarlo su una chiavetta USB e gli utenti lo possono istallare da soli in 10-12 min. Altrimenti, se non vivono nella fobia che in giro ci siano orde di hacker che li hanno nelle mire, possono aspettare la prossima visita al conce e lo istalla lui.

Queso è solo l'ennesimo miserevole fallimento della macchina di PR della FCA, pirla come pochi.

[J-Gian]

Mi lascia perplesso la possibilità di agire sullo sterzo.

Per poterlo fare é forse necessario che sia presente il park assist?

Ormai un po' tutte le auto, specie con servo elettrico, sono facili da controllare da questo punto di vista, tuttavia in merito all'episodio si diceva che fosse facile controllarlo solo in retromarcia, il che mi fa pensare ad legame con le funzionalità messe a disposizione dal sistema di parcheggio assistito )