Jeep Cherokee, il problema non è il traffico. Ma gli hacker

La sicurezza stradale, tema caldo per eccellenza quando si parla di automobili, si arricchisce di un altro parametro. Un fattore slegato dalle condizioni atmosferiche, dal comportamento degli altri guidatori o dalla velocità. Si parla di informatica che, in un mondo di oggetti sempre più connessi, sta pian piano prendendo il sopravvento anche all’interno dell’abitacolo. L’ultima gatta da pelare è balzata in queste ore sul cruscotto delle Jeep Cherokee prodotte da Fiat Chrysler Automobiles (Fca), sottoposte a un esperimento di hackeraggio – o di dirottamento, a seconda dei punti di vista – da una coppia di esperti in sicurezza. Chris Valasek di IoActive e Charlie Miller, ricercatore per Twitter ed ex membro della Nsa, hanno realizzato un video che è poi stato pubblicato da Wired Usa in cui mostrano una Cherokee impazzita, la cui centralina è stata completamente presa d’assalto da remoto.

I due esperti sono riusciti a collegarsi a Uconnect utilizzando un cellulare Android con scheda Sim dell’operatore Sprint. Uconnect è il sistema di comunicazione vivavoce di Fca che permette di parlare utilizzando un telefono cellulare Bluetooth, tenendo così le mani sul volante e lo sguardo sulla strada. Ma non solo: consente anche di interagire con molti altri comandi presenti a bordo. Ebbene, Valasek e Miller per la prima volta sono riusciti a prendere il completo controllo del sistema, interferendo addirittura sui freni, sul volante e su altre opzioni.

La coppia “tremenda” era già riuscita in passato a compiere operazioni del genere su altre automobili, ma si era sempre dovuta collegare fisicamente al sistema di infotainment utilizzando la porta per la diagnostica. Ora, anche la barriera “remota” è stata abbattuta. Secondo i due ricercatori, sarebbero oltre 470mila i veicoli a rischio, anche se i test sono stati effettuati su un solo modello. I due credono che le versioni vulnerabili siano quelle prodotte nel 2013, nel 2014 e anche nel 2015.

Per ragioni di sicurezza non sono stati però divulgati metodi e dettagli dell’incursione. Ma le azioni mostrate in pubblico sono state sufficienti, almeno per i dirigenti di Fca, che tramite un portavoce hanno duramente contestato l’operato di Valasek e Miller, giudicato “irresponsabile” perché potrebbe essere emulato da veri malintenzionati. Senza considerare che l’esperimento è stato condotto in una strada pubblica, con un giornalista di Wired a bordo di un auto letteralmente fuori controllo.

La buona notizia è che Fca ha rilasciato un aggiornamento per il sistema, capace di risolvere il problema e di bloccare eventuali attacchi esterni. “Al pari di smartphone e tablet, il software di un veicolo può necessitare di aggiornamenti di sicurezza, per ridurre il potenziale rischio di accessi non autorizzati e fuorilegge all’automobile stessa”, si legge nel comunicato del produttore. “L’update di oggi, fornito senza costi aggiuntivi ai clienti, include anche miglioramenti generali al sistema Uconnect introdotto nel 2015”.

Un frame del video dell'esperimento realizzato da Wired

Senza entrare nelle polemiche legate alle modalità con cui è stato condotto l’esperimento sulla Jeep Cherokee, non si può non considerare l’aspetto della sicurezza informatica sulle auto connesse. È sufficiente un numero: secondo Gartner, nei prossimi cinque anni le auto “smart” circolanti saranno oltre 250 milioni e praticamente tutte le principali case automobilistiche hanno rilasciato, o stanno per farlo, sistemi di infotainment avanzati e connessi alla Rete. Si apre così uno scenario potenzialmente preoccupante, che deve far riflettere gli sviluppatori di software implementati nelle vetture. Mettersi alla guida porta già con sé un buon potenziale di rischio, non serve aggiungerne altro.

Aggiornamento: Fca ha precisato che le Jeep Cherokee vendute nella regione Emea (Europe, Middle East and Africa) non sono vulnerabili a questa tipologia di intromissione perché non dispongono di un modem cellulare. L'esperimento condotto negli Stati Uniti è stato quindi reso possibile dalla presenza a bordo di questa funzionalità, non ancora commercializzata al difuori del mercato Usa.