Nemmeno le automobili di lusso possono dirsi perfette dal punto di vista della sicurezza informatica. Il marchio Bmw finisce sotto esame dopo la segnalazione della società di sicurezza Keen Security Lab, interna alla cinese Tencent, che ha evidenziato il rischio di attacchi scagliati verso diversi componenti a bordo delle vetture del produttore tedesco. Quattordici vulnerabilità, hardware e software, infatti, sono state reperite in tre apparati digitali delle auto Bmw, ovvero il sistema di infotainmente (Head Unit), la Telematics Control Unit e il Central Gateway Module, sistemi che comunicano con i collegamenti Usb, i Can bus network (che mettono in connessione i vari sottosistemi delle auto) e altri elementi delle vetture.
Nell'ambito di un lavoro di caccia al bug durato un anno, la “approfondita ed estesa analisi sia dell'hardware sia del software” di diversi modelli di auto ha portato i ricercatori di Keen Security Lab a scovare le falle, i cui dettagli non sono stati resi pubblici per ragioni di sicurezza (il report completo sarà pubblicato all'inizio del 2019). Si sa però che esiste la possibilità teorica di attacchi scagliati sia da locale, via Usb, sia da remoto attraverso il Bluetooth (dunque dovendo prevedere una certa vicinanza fisica fra l'esecutore e il bersaglio dell'hackeraggio), le comunicazioni Gsm o il sistema di infotainment proprietario di Bmw.
Si prospetta la possibilità di attacchi a catena, poco costosi da mettere in campo ma che richiedono notevoli abilità tecniche per essere eseguiti e con cui si potrebbero “azionare o controllare funzioni dell'auto da un'ampia varietà di distanze”, a seconda della porta di ingresso presa di mira.
Immagine tratta dal report di Keen Security Lab
Informata dei problemi, Bmw non se l'è presa, anzi: ha definito l'opera degli hacker bianchi di Tencent come “straordinario lavoro di ricerca”, premiandoli con un riconoscimento nuovo di zecca (Il Bmw Group Digitalization and IT Research Award). E ora il produttore di automobili e gli informatici cinesi stanno valutando la possibilità di collaborazioni continuative, mirate a potenziare la sicurezza delle vetture. Nel frattempo l'opera di risoluzione delle falle è già cominciata dal mese di aprile, con il progressivo rilascio di aggiornamenti software automatici verso i modelli di automobile coinvolti.