I ricercatori di sicurezza hanno scoperto importanti vulnerabilità in due dei veicoli più popolari di Tesla, rivelando che il Tesla Mannequin 3 e il Cybertruck possono essere trasformati in “macchine su ruote” altamente compromesse e controllate a distanza. IL i risultati evidenziano nuove preoccupazioni sulla crescente complessità delle auto connesse e su come i sistemi software program profondamente integrati possano introdurre rischi che la maggior parte dei conducenti non prende mai in considerazione.
I ricercatori dimostrano l’accesso approfondito al software program di sistema di Tesla
Un gruppo di ricerca della Northeastern College ha dimostrato di poter manipolare i sistemi principali all’interno dell’ambiente operativo Tesla sfruttando le vulnerabilità nell’architettura di rete interna del veicolo. Invece di entrare nell’auto a distanza, i ricercatori si sono concentrati su ciò che accade una volta che un aggressore ottiene l’accesso fisico: uno state of affairs che secondo loro è molto più realistico degli attacchi informatici in stile hollywoodiano completamente remoti.
Il loro lavoro ha dimostrato che collegare un dispositivo compromesso alla rete interna di Tesla potrebbe sbloccare l’accesso ai sottosistemi responsabili del servosterzo, del comportamento di frenata, della logica di accelerazione e persino delle funzioni di assistenza alla guida. Eseguendo il reverse engineering di protocolli e percorsi di comunicazione all’interno dei veicoli, i ricercatori hanno creato attacchi proof-of-concept in grado di alterare il comportamento del veicolo in modi che il conducente non potrebbe rilevare immediatamente.
Perché i risultati sono importanti per i veicoli connessi
I veicoli moderni fanno molto affidamento su una rete di microcontrollori, sensori e livelli software program, in alcuni casi più di 100 milioni di righe di codice. Questa complessità aumenta notevolmente la potenziale superficie di attacco. La ricerca sottolinea che i veicoli elettrici e le auto intelligenti di oggi funzionano in modo molto simile ai laptop mobili e che i tradizionali presupposti di sicurezza automobilistica non tengono pienamente conto delle vulnerabilità sistemiche del software program.
Fondamentalmente, il workforce osserva che un aggressore non dovrebbe necessariamente essere un attore di stato-nazione o un hacker d’élite. Con competenze tecniche di base e accesso fisico a breve termine, advert esempio durante il parcheggio, la manutenzione ordinaria o l’uso di un’auto a noleggio, potrebbe essere introdotto un dispositivo dannoso per modificare le comunicazioni interne sul bus CAN del veicolo.
Non si tratta di attacchi di acquisizione remota, ma dimostrano che le protezioni interne del sistema non sono abbastanza robuste da impedire l’esecuzione di codice dannoso una volta che un intruso raggiunge le porte fisiche dell’auto.
Implicazioni per gli automobilisti e l’industria
Per gli automobilisti di tutti i giorni, la ricerca attira l’attenzione sull’importanza di trattare le auto moderne come dispositivi digitali con i propri rischi per la sicurezza informatica. Funzionalità come l’accesso senza chiave, gli aggiornamenti through etere e gli estesi sensori di bordo migliorano notevolmente la comodità, ma creano anche più potenziali punti di guasto.
I risultati evidenziano anche una sfida più ampia del settore: le case automobilistiche stanno correndo per aggiungere funzionalità autonome, sistemi basati sull’intelligenza artificiale e piattaforme di infotainment sempre connesse, ma i sistemi di sicurezza non si sono evoluti allo stesso ritmo. Con l’aumento dell’adozione dei veicoli elettrici e la crescente dipendenza delle auto dal software program, i ricercatori di sicurezza avvertono che le vulnerabilità potrebbero diventare più comuni a meno che la sicurezza informatica non diventi una priorità fondamentale nella progettazione.
Qual è il futuro di Tesla, dei regolatori e delle case automobilistiche?
I ricercatori hanno divulgato i loro risultati a Tesla prima della pubblicazione e, sebbene la società abbia riconosciuto il rapporto, ha notato che i check coinvolgevano dispositivi collegati direttamente al veicolo, uno state of affairs considerato a rischio inferiore rispetto alla compromissione remota. Tuttavia, la comunità di ricerca sostiene che gli attacchi informatici all’accesso fisico rimangono minacce critiche nei contesti del mondo reale.
In futuro, gli accademici si aspettano una maggiore attenzione sugli customary di sicurezza informatica automobilistica, tra cui una crittografia più forte delle comunicazioni interne, messaggistica software program autenticata e porte di accesso riprogettate che riducono al minimo il rischio di iniezioni dannose.
Le autorità di regolamentazione potrebbero anche rivedere gli customary relativi alla sicurezza dei veicoli connessi poiché le auto assomigliano sempre più a complesse piattaforme informatiche connesse al cloud.
Man mano che i veicoli connessi diventano la norma, è probabile che l’industria automobilistica si trovi advert affrontare una pressione crescente per rafforzare i sistemi, adottare architetture zero-trust e trattare la sicurezza informatica con la stessa serietà della sicurezza in caso di incidente.
