Se notate qualcuno girare attorno alla vostra Tesla con il telefono in mano, iniziate a preoccuparvi: un esperto di sicurezza informatica ha appena scoperto che è possibile aprire e addirittura mettere in moto l’auto sfruttando un semplice collegamento Bluetooth.
Potrebbe sembrare una scena di Watch Dogs, e invece è realtà. La cosa peggiore è che lo stesso trucchetto funziona su una varietà di automobili (anche non Tesla!) e perfino sulle porte delle case domotiche.
A scoprire la falla è stato Sultan Qasim Khan, un esperto di sicurezza informatica che conosce da vicino la tecnologia Bluetooth. Come ha dimostrato a Bloomberg, il concetto è molto semplice: basta reindirizzare il segnale Bluetooth per far credere alla Tesla che il proprietario sia nelle vicinanze, e subito le porte si aprono e il motore si accende.
Specialmente suscettibili all’hack le Tesla Model 3 e Model Y, perché non usano delle tradizionali chiavi, optando invece per una card da appoggiare sulle porte, o, ancora più comunemente, affidandosi ad un’App per smartphone – ed è qui che casca l’asino.
Molti utenti decidono di usare l’App, considerato che la card occupa un posto nel portafoglio e deve essere estratta e poi riposta ad ogni utilizzo. Il telefono invece è più accessibile, ed il rischio di smarrirlo è forse ancora minore rispetto al portafoglio, grazie alle App di tracciamento ed eventuale blocco del dispositivo.
Purtroppo l’utilizzo del telefono, come si è scoperto, espone l’utente a delle criticità che la tecnologia RFID della carta – la stessa usata dalle placche antitaccheggio di scarpe e vestiti – non presenta. Tipo, vedere qualcuno sgommarci davanti con la nostra auto anche se abbiamo lo strumento d’accesso in mano. Se la macchina si apre solo con carta, non c’è breccia nei nostri account o ingarbugliamento di segnale che tenga: al malfattore non resta che tentare il mattone contro il finestrino. Che stando a questo famoso video potrebbe rivelarsi molto efficace.
Non avete una Tesla? Forse siete a rischio comunque
Per ora non ci sono casi documentati di furto avvenuti in questo modo. Khan stesso ha dichiarato che trova l’eventualità improbabile, ma ciò non è un buon motivo per lasciare la vulnerabilità scoperta. Secondo un’indagine del 2019 sono più di 200 i modelli di autovettura che usano lo stesso sistema (vulnerabile) di blocco e avvio presente sulle Tesla “bucate”, cioè il BLE (Bluetooth Low Energy).
Il sopracitato sistema è presente in molte case domotiche, che a differenza delle auto sono state, in passato, violate da hacker e malintenzionati, i quali furono in grado di manipolare luci, tapparelle, e persino aprire porte d’ingresso e finestre.
La soluzione, secondo Khan, è cambiare completamente il sistema d’accesso, tuttavia Tesla ancora non si è espressa al riguardo. Vedremo presto un ritorno al caro vecchio mazzolin di chiavi come opzione di default anche sulle supertecnologiche macchine di Elon Musk? La sfida è sicuramente ardua, ci spiega l’azienda di Khan, considerato che il problema “non è risolvibile tramite patch, dato che sorge da un utilizzo del BLE diverso da quello inteso“.
Tesla e Internet delle Cose
Non è la prima volta che le Tesla si rivelano esposte a pericoli di questo tipo. Già questo gennaio il diciannovenne David Colombo era riuscito ad introdursi del computer di bordo di una Model S, assumendo il controllo di porte, stereo, dati di navigazione e impostazioni di sicurezza. In pratica, aveva il controllo di tutto eccetto che volante e pedali.
$TSLA here’s the segment of the interview where @david_colombo_ discusses the flaw/vulnerability in Tesla’s OWN code to find email addresses (this is separate from the third party flaw he used to hijack cars). As he states – he shared with @tesla who have fixed. pic.twitter.com/4G96erplcF
— Ed Ludlow (@EdLudlow) January 25, 2022
Anche in questo caso, però, la colpa non è del veicolo in quanto Tesla o del network della compagnia, ma delle architetture che l’azienda sceglie di usare. Il sistema open source installato nel centralino della macchina presentava delle debolezze legate al raccoglimento ed analisi dei dati che il giovane è riuscito a sfruttare, una storia che suona ormai familiare in un’epoca dove persino le saliere vogliono diventare smart. Quest’ultimo problema è stato fortunatamente corretto, mentre la questione BLE sarà molto più ardua da risolvere.
Se nonostante tutto ciò avete ancora il desiderio incontenibile di personalizzare il clacson della vostra autovettura, in fondo a questo articolo vi parliamo dei punti vendita Tesla in Italia, mentre qui dell’ultimo gossip sul CEO.
Fonti: Bloomberg, HelpNetSecurity, NCC group,
