Volkswagen è stato trovato inclini a vulnerabilità di auto-hacking, un rapporto dettagliato Computest recentemente rivelato. I ricercatori hanno portato alla luce che i sistemi IVI (In-Vehicle Infotainment) in alcuni modelli Volkswagen sono vulnerabili alla pirateria informatica a distanza. Tali vulnerabilità possono anche portare alla compromissione di altri sistemi critici per auto.
Dettagli tecnici sulla ricerca
Più in particolare, ricercatori Thijs Alkemade e Daan Keuper scoperto la vulnerabilità in Golf GTE Volkswagen e l'Audi3 Sportback e-tron. La falla potrebbe consentire agli hacker di prendere il controllo delle funzioni critiche in alcuni casi. Le funzioni includono la rotazione del microfono della vettura on e off, arruolando il microfono per ascoltare le conversazioni del conducente, e di ottenere l'accesso alla cronologia delle conversazioni e la rubrica dell'automobile. Per di più, i ricercatori hanno detto che gli aggressori potrebbero anche rintracciare la vettura attraverso il suo sistema di navigazione.
Un numero crescente di vetture dotate di una connessione ad internet, e alcune auto hanno anche due connessioni cellulari in una sola volta, i ricercatori hanno scritto. Questo collegamento può per esempio essere utilizzata dal sistema IVI per ottenere informazioni, come i dati mappe, o per offrire funzionalità come un browser Internet o di un hotspot Wi-Fi o per dare ai proprietari la possibilità di controllare alcune funzioni tramite un app mobile.
Per il loro rapporto, i ricercatori hanno in particolare concentrati su vettori di attacco che potrebbe essere innescato via internet e senza l'interazione dell'utente. L'obiettivo che ha ispirato la ricerca era di vedere se il comportamento di guida o di altri componenti di sicurezza in macchina potrebbero essere influenzati. In altre parole, i ricercatori hanno voluto per ottenere l'accesso al bus CAN ad alta velocità, che collega componenti come i freni, volante e il motore.
La ricerca è iniziata con una Volkswagen Golf GTE, da parte di 2015, con l'applicazione Car-Net:
Questa vettura ha un sistema IVI prodotto da Harman, denominato piattaforma infotainment modulare (MIB). Il nostro modello è stato equipaggiato con la versione più recente (versione 2) di questa piattaforma, che aveva diversi miglioramenti rispetto alla versione precedente (come Apple CarPlay). Importante da notare è che il nostro modello non ha avuto un vassoio separata scheda SIM. Abbiamo ipotizzato che la connessione cellulare utilizzato una SIM incorporato, all'interno del sistema IVI, ma questa ipotesi sarebbe poi rivelarsi non valida.
Siamo in grado di danneggiare in remoto il sistema MIB IVI e da lì inviare messaggi CAN arbitrarie sul bus CAN IVI. Di conseguenza, siamo in grado di controllare lo schermo centrale, Altoparlanti, e microfono. Si tratta di un livello di accesso che nessun attaccante dovrebbe essere in grado di raggiungere.
Il passo successivo della ricerca sarebbe stata quella di tentare di prendere il controllo dei componenti critici per la sicurezza della vettura, come sistema di frenatura e l'accelerazione del veicolo.
Tuttavia, dopo un attento esame, i due ricercatori hanno deciso di interrompere il loro, a questo punto, dal momento che questo potrebbe potenzialmente compromettere la proprietà intellettuale del produttore e potenzialmente infrangere la legge.
Risposta di Volkswagen al Vulnerabilità
Dal momento che Volkswagen non ha avuto una politica di divulgazione responsabile disponibili sul suo sito web, i ricercatori hanno segnalato i difetti di avvocato esterno di Volkswagen nel mese di luglio 2017. Un incontro vero e proprio con la società si è verificato anche il mese successivo, Agosto.
Questo è ciò che i ricercatori disse in una dichiarazione:
Durante il nostro incontro con Volkswagen, abbiamo avuto l'impressione che la vulnerabilità segnalata e, soprattutto, il nostro approccio era ancora sconosciuta. Abbiamo capito nel nostro incontro con Volkswagen che, nonostante sia utilizzato in decine di milioni di veicoli in tutto il mondo, questo sistema IVI specifica non ha subito un test di sicurezza formale e la vulnerabilità era ancora a loro sconosciuto. Tuttavia, nella loro feedback per questo lavoro Volkswagen ha dichiarato che sapevano già su questa vulnerabilità.
Volkswagen ha esaminato i difetti, e ha detto che non aveva intenzione di pubblicare una dichiarazione pubblica, ma sarebbe piuttosto rivedere le ricerche per verificare le loro dichiarazioni. La società ha fatto rivedere il documento di ricerca, e la revisione stessa è stata completata nel mese di febbraio, 2018. “Nel mese di aprile 2018, a destra prima il documento è stato rilasciato al pubblico, Volkswagen ci ha fornito una lettera che conferma le vulnerabilità e menziona che sono stati fissati in un aggiornamento software al sistema infotainment. Ciò significa che le auto prodotte dal momento che questo aggiornamento non sono interessati dalle vulnerabilità abbiamo trovato,” i ricercatori hanno concluso.
Infine, si deve ancora una volta sottolineare che i modelli di auto hacked provenivano 2015. Se per caso possedete un Audi o Volkswagen da quell'anno, è necessario contattare il rivenditore di auto per ricevere informazioni sull'aggiornamento del software.