Un'auto è fuori controllo. Sbanda. Fa brusche accelerazioni intervallate da altrettante brusche inchiodate. Invade la corsia opposta. Infine viene fermata, per il sollievo di tutti gli altri automobilisti. Uno scenario che non è poi così raro, può essere provocato da un drogato, un ubriaco o ancora un malvivente che scappa col veicolo rubato. Ma se in realtà la macchina non fosse stata davvero fuori controllo? O più precisamente lo fosse solo per chi era al volante? Tutt'altro che fantascienza, come vedremo.

jeepexploit

Il giornalista di Wired USA Andy Greenberg si è trovato in una situazione che corrisponde proprio a quella ipotizzata dalle due domande. Stava viaggiando su un'autostrada nei pressi di St. Louis, a una velocità di quasi 120 km/h, quando ha visto letteralmente impazzire la sua Jeep Cherokee. Dapprima l'aria condizionata impostata alla velocità massima sul freddo, poi il riscaldamento dei sedili, la radio che passa a tutto volume su una stazione che trasmette musica hip-hop, il liquido lavavetri che offusca la visuale al conducente. Infine l'acceleratore smette di rispondere provocando il rallentamento della vettura e l'intralcio della corsia occupata. Momenti di panico, in cui ogni comando ha cessato di rispondere agli input manuali, mentre sullo schermo del sistema infotainment comparivano i volti dei dirottatori, che gridavano al terrorizzato Greenberg. Riesce a convincerli a smetterla e l'incubo finisce.

Ci sono due buone notizie. La prima è che nessuno si è fatto male. La seconda è che si trattava di una simulazione, per quanto realistica. Si è infatti svolta una prova sul campo degli exploit preparati per la piattaforma UConnect, adottata qui anche su alcuni modelli Fiat, dagli esperti di sicurezza Charlie Miller (celebre nel mondo Mac per non essere andato spesso troppo morbido contro le vulnerabilità del software Apple) e Chris Valasek. Essendo UConnect collegata a Internet ogni suo bug la espone a violazioni da remoto, opportunità che i due hanno ben colto inviando tutti i comandi comodamente seduti dal divano del soggiorno di Miller. Dopo l'attacco in autostrada la seconda parte del test si è svolta in un parcheggio vuoto, mostrando come la gamma degli attacchi da poter perpetrare è davvero ampia, arrivando fino allo scenario peggiore: il blocco dei freni. L'exploit rende inoltre l'auto sempre rintracciabile a totale insaputa del guidatore, tuttavia considerato quanto già descritto forse questo è il pericolo minore, dato che già da anni esistono appositi strumenti di sorveglianza legali e non.

Il procedimento di per sé non appare molto diverso da quello utilizzato per prendere di mira un computer. Se si riesce a ottenere l'indirizzo IP in rete della macchina, basta sfruttare una falla del suo sistema elettronico affinché il malintenzionato ottenga il controllo sufficiente a modificare il firmware dell'unità centrale col proprio codice. Da lì in poi nulla potrà fermarlo, a meno di riuscire a riprogrammare il tutto coi binari di fabbrica. Finora gli esperimenti si sono concentrati principalmente su UConnect, con la maggior parte degli exploit concentrati sulla Jeep Cherokee; tuttavia almeno per la sola parte multimediale ogni modello Chrysler da fine 2013 a inizio anno corrente risulta vulnerabile, con la possibilità che il resto riesca con alcune modifiche al lavoro già fatto sul SUV. Inoltre avere successo su un sistema aprirebbe le porte a simili iniziative anche contro altri presenti in circolazione, come il Ford SYNC o il Renault R-Link ad esempio.

Circostanze in arrivo molto a breve che non rendono tranquilli. Intendiamoci, l'evoluzione delle automobili, dotate sempre più di tecnologie sofisticate, rimane la benvenuta. Tuttavia è doveroso iniziare ad espandere il concetto di sicurezza sinora conosciuto in ambito motoristico, concentrato quasi esclusivamente sull'uomo e non anche sui chip. Prima o poi la simulazione potrebbe diventare realtà, con conseguenze poco piacevoli, da semplici buontemponi che si divertono a fermare remotamente i motori accesi arrivando fino a terroristi in grado di innescare attacchi improvvisi senza nemmeno sforzarsi dal punto di vista fisico. Le case automobilistiche dovranno inibire comandi che possano costituire pericolo per le vite umane e, come già fanno le software house, creare propri team dedicati alla sicurezza informatica dei prodotti nonché prestare attenzione alle divulgazioni preventive degli esperti esterni. Quest'ultimo è stato peraltro il caso di Miller e Valasek, che mostreranno pubblicamente il codice di parte degli exploit il prossimo mese alla conferenza Black Hat e nel frattempo hanno condiviso le loro scoperte con Fiat Chrysler mettendo il gruppo in condizione di rilasciare proprio qualche giorno fa un aggiornamento correttivo. Un'altra buona notizia che si spera sia di auspicio positivo pure per l'avvenire.