Hacker controllano Jeep Cherokee via internet a 110km/h e la portano fuori strada

Spesso parliamo di computer che possono venire "hackati" con gli aggressori che riescono a prenderne il controllo da remoto via internet. Ma quando il computer è in un'autovettura e può gestire parti sensibili come motori e freni, la situazione si fa più delicata da gestire. Ed è quanto può succedere su parecchi veicoli Chrysler del gruppo FCA, che sono a rischio hack. La vulnerabilità si trova sul servizio Uconnect (che funziona tramite internet), e che permette ad utenti esterni di prendere il controllo del veicolo anche a decine di chilometri di distanza.

A differenza di altri attacchi nei sistemi di infotainment delle autovetture, quello permesso dal bug su Uconnect consente di accedere in maniera più capillare alle parti più delicate della guida, come volante, freni, motore, ed è possibile controllare anche i sistemi di guida come GPS e tergicristalli. Uconnect è installato su centinaia di migliaia di auto sparse per il mondo e vendute dal gruppo FCA dagli ultimi mesi del 2013 ad oggi, e consente - così come pensato dal gruppo - di avviare il motore da remoto, sbloccare le portiere e accendere i fari utilizzando un'app apposita.

L'hack è stato dimostrato da Charlie Miller e Chris Valasek, due esperti di sicurezza con esperienze precedenti in casi di diversa natura su altri tipi di vetture. Utilizzando un notebook collegato alle reti di Verizon, i due hanno preso il controllo di una Jeep Cherokee guidata da Andy Greenberg, che ha testimoniato l'avvenimento per Wired.com. Durante l'esperimento, gli "hacker" hanno mostrato al giornalista come sia possibile prendere il controllo della vettura da remoto provocando anche un fuoristrada con la disattivazione dei freni. Il tutto a decine di chilometri di distanza dal veicolo.

"Guidavo ad oltre 100 km/h ai margini del centro di St. Louis quando l'exploit ha iniziato a farsi sentire", scrive Greenberg nel report. "Anche se non avevo toccato il cruscotto, le bocchette della Jeep Cherokee hanno iniziato a diffondere aria fredda all'impostazione più elevata possibile, raffreddando il sudore sulla mia schiena attraverso il sistema di controllo del clima. Poi, la radio è passata alla stazione hip-hop locale e ha inizato a suonare Skee-lo al volume massimo. Infine si sono attivati i tegricristalli, e il liquido ha offuscato il vetro".

Differentemente da moltissimi altri hack della stessa natura, quello di Miller e di Valasek consente di prendere il controllo della vettura da remoto, senza avere alcuna connessione fisica con il veicolo. I due sono a conoscenza del bug da parecchio tempo, e hanno notificato la sua esistenza a Chrysler circa nove mesi fa, con il fix che è stato rilasciato lo scorso 16 luglio. L'aggiornamento può essere eseguito manualmente scaricando un pacchetto dal sito ufficiale del costruttore, installandolo su un pendrive USB che poi andrà inserito nella porta della macchina.

L'operazione può essere naturalmente portata a compimento anche dai rivenditori autorizzati del gruppo. Non sappiamo al momento se il bug sia confinato solamente alle automobili vendute negli Stati Uniti, e su quali modelli rappresenti di fatto un problema. L'update di sicurezza è stato rilasciato da Jeep per i veicoli con sistemi di radio e navigazione RA3 e RA4, i cui possessori farebbero meglio ad installarlo al più presto nelle proprie autovetture.