Hacker che controllano Jeep via internet: arriva la risposta ufficiale di FCA Europa

Hacker che controllano Jeep via internet: arriva la risposta ufficiale di FCA Europa

L'unità EMEA di FCA precisa che le auto vendute nei nostri mercati non sono affette dalla vulnerabilità nel sistema Uconnect, la quale potrebbe permettere ad utenti malintenzionati di controllare parti sensibili della vettura

di pubblicata il , alle 14:31 nel canale Sicurezza
 

Mercoledì abbiamo scritto del caso di due ricercatori di sicurezza che hanno scoperto il modo di gestire a chilometri di distanza parti sensibili di una Jeep Cherokee. La notizia era stata pubblicata da Wired e si trattava nello specifico di un esperimento effettuato con il consenso del proprietario del veicolo. È tuttavia evidente che, con l'evoluzione in chiave tecnologica del settore automotive, problemi di questo tipo dovranno essere affrontati e contrastati in maniera più netta.

Jeep Cherokee

È tornata sull'argomento FCA EMEA, specificando che la vulnerabilità nel sistema Uconnect della Jeep vittima dell'esperimento non è un problema per i veicoli FCA venduti in Europa, Medio Oriente e Africa. Di seguito riportiamo il testo dell'ufficio stampa EMEA del gruppo FCA.

"L'hack pubblicato su Wired Magazine è stato condotto attraverso un modem cellulare integrato, una funzionalità che non è disponibile nei veicoli venduti al di fuori degli Stati Uniti.  I mercati internazionali attualmente non offrono la stessa funzione di connettività integrata invece nei veicoli venduti nel mercato americano.

Sulla base di questi risultati, i veicoli Jeep venduti nella regione EMEA (Europa, Medio Oriente e Africa) non sono esposti al tipo di attacco di cui parla la rivista.

In nessun caso FCA giustifica o crede che sia opportuno illustrare guide che potrebbero incoraggiare eventuali hacker ad ottenere l'accesso non autorizzato e illegale ai sistemi del veicolo.
 
FCA ha un team dedicato al System Quality Engineering focalizzato sull'identificazione e l'integrazione delle migliori tecnologie software in tutto il mondo. Le responsabilità del team includono lo sviluppo e l'attuazione di norme di sicurezza informatica per tutti i contenuti del veicolo, sia a bordo che eventuali servizi remoti.

FCA ha recentemente rilasciato un aggiornamento software specifico per il mercato statunitense che offre ai clienti miglioramenti sul piano della sicurezza elettronica e nel sistema di comunicazione. La compagnia continua a monitorare e testare i sistemi di informazione su tutti i suoi prodotti per identificare ed eliminare le vulnerabilità nel normale svolgimento delle loro attività.

Proprio come su uno smartphone o su un tablet, il software integrato nei veicoli può richiedere aggiornamenti per migliorare le tecniche di sicurezza e ridurre il rischio potenziale di un accesso non autorizzato e illecito ai sistemi del veicolo. A questo scopo, Jeep offre ai propri clienti in tutto il mondo aggiornamenti software regolari attraverso la sua rete di concessionarie."

I veicoli FCA venduti nel nostro mercato sono quindi al sicuro. Questo perché il sistema Uconnect non utilizza le stesse reti dei sistemi americani che sono state violate durante l'esperimento condotto dai due ricercatori di sicurezza in collaborazione con Wired.com. La problematica non sussiste in realtà neanche in America, visto che la società ha già rilasciato un aggiornamento che può essere effettuato sia manualmente che rivolgendosi alle concessionarie specifiche. Tuttavia, se da un lato non è corretto spiegare come fare per ottenere il controllo illecito della vettura, dall'altra riteniamo sia indispensabile sensibilizzare i potenziali acquirenti delle vetture del futuro che, in quanto estremamente tecnologiche, sono potenzialmente vulnerabili a tutte le problematiche di sicurezza sino ad oggi tipiche dei sistemi informatici.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

16 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
inkpapercafe23 Luglio 2015, 14:40 #1
Facciamo un pò di chiarezza, finalmente
Madcrix23 Luglio 2015, 14:44 #2
Chi è che diceva che prima automatizzano tutto e meglio è dopo aver letto la news sulla Google car?

In futuro per ammazzare un avversario politico basterà fargli fare un bel frontale contro un tir
Simonex8423 Luglio 2015, 15:02 #3
dove siamo finiti, aggiornamenti SW di sicurezza per le auto

Non conosco le normative automotive per le automobili, ma temo ci sia qualche buco da sistemare anche li, certi sistemi vanno isolati, non basta più difendersi da potenziali failure di sistema, adesso si deve tenere conto anche degli hacker
benderchetioffender23 Luglio 2015, 15:20 #4
Originariamente inviato da: Madcrix
Chi è che diceva che prima automatizzano tutto e meglio è dopo aver letto la news sulla Google car?

In futuro per ammazzare un avversario politico basterà fargli fare un bel frontale contro un tir


bah, mi sembrato tutte cazzate... basta fare sistemi separati e via
in ogni caso google si prende una bella responsabilità se vuole guidare lei per tutti..
Brajang23 Luglio 2015, 16:10 #5
Originariamente inviato da: Madcrix
Chi è che diceva che prima automatizzano tutto e meglio è dopo aver letto la news sulla Google car?


Automatizzare si... non permettere il controllo da remoto dei veicoli.
Per la news sulla google car solo chi non l'ha neanche letta o chi è talmente Str***o da bloccare un incrocio perchè "avevo verde e passo" o "ha lo stop e passo io anche se resto fermo a bloccare tutto". Casualmente i veicoli a guida autonoma sono sempre investiti e mai investono :|, se la google car in quel momento si fosse ritrovata a messaggiare su whatssapp effettivamente è probabile che sarebbe passata come un normale umano, peccato che il messaggio probabilmente lo stava mandando chi l'ha tamponata.

Come molti hanno detto, basta separare fisicamente il sistema multimediale dal sistema di guida della vettura, anche se così facendo l'auto non uscirà mai dal parcheggio da sola per venirci a prendere.
Ago7223 Luglio 2015, 16:10 #6
Il discorso è complesso. Un conto è la sicurezza funzionale (safety) e un altro conto è la sicurezza informatica (security). Se per la Safety esiste tutta una serie di normative e metodologia per determinare se un sistema è sicuro, altettanto non si può dire per la Security.
un sistema safe rimane tale per tutta la sua vita, fatto salvo la mutazione dello scenario in cui opera. Mentre nel caso della secuirty questo non è vero, un sistema ritenuto secure oggi, può non esserlo domani, in quanto si scopre una falla di sicurezza.
Separare i bus di comunicazione può essere una soluzione, anche se questo vuol dire rinunciare a delle funzionalità, come ad esempio all'assistenza remota.
Poi vi sono altre soluzioni, di derivazione MIL, che prevedono comunicazioni con chiavi criptate nella sola disponibilità del produttore, però questo vuol dire che la diagnostica potrebbe farla solo il produttore e non il meccanico sotto casa.
Sicuramente c'è bisogno di una normativa più efficace della ISO 27001.
danieleg.dg23 Luglio 2015, 17:05 #7
Originariamente inviato da: Madcrix
Chi è che diceva che prima automatizzano tutto e meglio è dopo aver letto la news sulla Google car?

In futuro per ammazzare un avversario politico basterà fargli fare un bel frontale contro un tir


Ma guarda che non c'entra molto: le macchine automatizzate potrebbero benissimo avere un sistema separato, indipendente da tutto e non collegato ad internet solo per la guida, e il sistema di rilevazione e trasmissione dati alle altre vetture che si collega ad internet, ma non si interfaccia minimamente a quello di guida.
bobafetthotmail23 Luglio 2015, 17:37 #8
Originariamente inviato da: inkpapercafe
Facciamo un pò di chiarezza, finalmente
Abbeh, perchè ho bisogno della FCA per sapere che le vetture qui da noi non hanno un modem 3G integrato.

Resta scandaloso.


In futuro per ammazzare un avversario politico basterà fargli fare un bel frontale contro un tir
Ci sono dozzine di modi per sabotare una vettura normale in modo non rilevabile.

Come molti hanno detto, basta separare fisicamente il sistema multimediale dal sistema di guida della vettura, anche se così facendo l'auto non uscirà mai dal parcheggio da sola per venirci a prendere.
si può fare, si può fare.
Basta che metti come unici input esterni riconosciuti dal sistema di guida il testo e la voce (ed eventuali tasti interni alla macchina) analogici (il testo viene tradotto in analogico da qualche sistema a caso, la voce entra tramite uno speaker-microfono).

Se usi come ponte un segnale analogico che viene sempre processato da algoritmi, non riescono ad hackerare il sistema, perchè passa solo il testo, e solo la voce.

O gli dai un appuntamento prima di scendere.
Italia 123 Luglio 2015, 20:12 #9
Io avevo una Panda 30s che andava in autocombustione quando si scaldava, faceva i 110 in discesa, non aveva nè chiusura centralizzata nè vetri elettrici. Era quasi indistruttibile. Poi ho avuto una Uno 45S: chiusura centralizzata e vetri elettrici. Auto che si possono comandare da remoto ? Allora tramite qualche smartwatch + Siri è possibile "Kitt, vieni a prendermi" !
Ago7223 Luglio 2015, 22:45 #10
Originariamente inviato da: bobafetthotmail
Abbeh, perchè ho bisogno della FCA per sapere che le vetture qui da noi non hanno un modem 3G integrato.


Non capisco da dove arriva tutta questa sicumera. Ad esempio la nuova mercedes GLA ha un modem 3G integrato. Esattamente non so che dati trasmette, ma so che comunica con la centrale operativa MB

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^