Le auto moderne sono ricche di elementi tecnologici che spesso ignoriamo o usiamo sbadatamente. Ma con tutta questa elettronica, c’è il rischio che ci osservino?
L’infotainment in auto è una delle tendenze più in crescita nel settore automobilistico, che offre ai conducenti e ai passeggeri una serie di servizi e funzionalità, come navigazione, intrattenimento e connettività.
Con l’aumentare della dipendenza dalle tecnologie in auto, diventa sempre più importante garantire che questi sistemi siano sicuri da eventuali minacce. Negli ultimi anni, sono stati segnalati casi di intrusione informatica in sistemi di infotainment di veicoli, il che solleva domande sul livello di sicurezza di questi sistemi e su come proteggere i dati sensibili degli utenti. In questo articolo esploreremo i punti cruciali, relativi alla sicurezza nei sistemi di infotainment, attraverso casi ed esempi concreti.
Quando guidiamo lasciamo tracce
I dati, che molte automobili raccolgono, possono svelare schemi della nostra routine giornaliera e fornire informazioni sulle nostre azioni, comportamenti e persino sul nostro umore.
La Vehicle Forensics è la branca dell’informatica forense che si concentra sull’identificazione, la raccolta e l’analisi dei dati registrati dai mezzi di trasporto. In origine, la sua applicazione riguardava principalmente la verifica esterna di veicoli rubati, che avevano violato le norme fiscali o saltato le revisioni. L’ANPR (riconoscimento automatico delle targhe), fu introdotto negli anni ’70, ma le forze di polizia cominciarono ad utilizzarlo in modo diffuso solo alla fine degli anni ’90. Il funzionamento di ANPR consiste nella scansione delle targhe e nella loro verifica attraverso la consultazione di una base dati.
Negli ultimi tempi, i metodi sono diventati più sofisticati, comprendendo anche l’estrazione di informazioni dall’interno dei mezzi. Qualsiasi sistema, dai dispositivi di assistenza alla guida a quelli di intrattenimento, può contribuire alla scoperta di violazioni e può essere usato come prova in giudizio.
La scatola nera
I dispositivi EDR (Event Data Recorder), noti come scatole nere, vengono impiegati nei veicoli per tracciare lo stile di guida degli automobilisti. Non sono presenti in ogni automobile, ma sono apprezzati dalle compagnie assicurative, che ne propongono l’installazione a fronte di un premio ridotto. Oltre a registrare la posizione GPS, queste possono fornire informazioni circa la velocità, le distanze percorse, i tempi di guida, dati inerenti frenate e manovre e persino ciò che diciamo nell’abitacolo.
Il recente Regolamento europeo 2019/2144, ne rende obbligatorio l’impiego per tutti i veicoli di nuova omologazione oltre che per quelli che verranno immatricolati dal 2024.
Una innovazione che ci aiuta e ci studia
In passato, per ascoltare musica durante la guida era sufficiente una semplice musicassetta o un lettore CD. Questi sistemi sono stati gradualmente sostituiti da dispositivi che utilizzano tecnologie Bluetooth, Wi-Fi e USB, e che possono essere controllati tramite schermi touch o display integrati nel cruscotto.
Il sistema di infotainment non si limita ad offrire intrattenimento, ma rappresenta spesso anche il modo in cui i conducenti gestiscono altre funzioni dell’auto, come la visualizzazione del consumo di carburante o il controllo della temperatura dei sedili.
Il sistema di bordo può raccogliere informazioni quali lo storico dei percorsi, messaggi di testo ed e-mail, cronologia di navigazione sul web, feed di social media, nonché connessioni Bluetooth e segnali di torri cellulari, quando gli smartphone sono accoppiati alle auto tramite cavo USB o mediante Bluetooth.
I sistemi ADAS (Advanced Driver Assistance Systems) più all’avanguardia, e oramai obbligatori, propongono rilevatori del battito ciliare, guida distratta, disattenzione proprio per evitare incidenti.
Gli AlcoLock misurano il tasso alcolemico del conducente, arrestando il motore quando questo supera i limiti di legge.
Tutti questi dispositivi lavorano in modo discreto e silenzioso registrando ogni nostro stato.
Cosa c’è nelle nostre auto?
Il sistema di infotainment del veicolo svolge le sue funzioni attraverso l’integrazione con molte altre componenti interne ed esterne.
Per farci un’idea più precisa della complessità, vediamo i componenti fondamentali:
Unità principale: è un dispositivo touch screen, simile a un tablet, montato sul cruscotto. Con un’interfaccia intuitiva, questa funge da centro di controllo.
Heads-Up Display: visualizza informazioni in tempo reale del veicolo su uno schermo trasparente integrato con il parabrezza. Questo aiuta a ridurre la distrazione del conducente durante la guida e fornisce informazioni importanti come la velocità, i percorsi di navigazione, il clima, le opzioni multimediali.
Processori DSP e GPU: I sistemi moderni sono alimentati da potenti processori progettati appositamente per sistemi IVI (In Vehicle Infotainment) avanzati. Questi processori sono in grado di visualizzare contenuti su più display (l’HUD, smartphone connessi, Head Unit) offrendo ogni comodità ai passeggeri.
Sistemi operativi: che supportano la connettività e la compatibilità software con Android, iOS, Linux, QNX.
Protocolli di rete: I componenti hardware nei sistemi di bordo sono interconnessi con protocolli di comunicazione standard come CAN (Controller Area Network). Questi protocolli permettono ai microcontrollori e ai dispositivi di comunicare tra loro senza il computer intermedi.
Moduli di connettività: moduli GPS, Wi-Fi e Bluetooth per garantire la connessione con reti e dispositivi esterni.
Sensori e rilevatori: di prossimità, di riconoscimento dei gesti, telecamere, ultrasuoni per il parcheggio.
I sistemi di infotainment hi-tech hanno trasformato il design dei quadri strumenti, sostituendo i vecchi display statici con display digitali che mostrano informazioni come il tachimetro, i giri motore, informazioni di percorrenza.
Le centraline elettroniche o ECU (Engine Control Unit) sono considerate il centro di controllo di un veicolo, spesso descritte come il suo “cervello”. Questi dispositivi sono solitamente posizionati all’interno dell’auto, come nella console portaoggetti, nello spazio motore o sotto il cruscotto. Le ECU sono, in sostanza, computer miniaturizzati con sistemi di commutazione e gestione dell’alimentazione integrati.
In un singolo veicolo, vi sono spesso più di 80 centraline che gestiscono compiti specifici. Ad esempio, la centralina elettronica del motore, controlla l’iniezione del carburante e la fasatura della scintilla nei motori a benzina. Anche l’allacciamento delle cinture di sicurezza, il blocco portiere, l’accensione e lo spegnimento delle luci sono gestite dalla Body Control Module.
Per aiutare il conducente a ottenere un’efficienza migliore, il sistema di infotainment e le centraline elettroniche collaborano, registrando una vasta gamma di informazioni sul modo in cui il veicolo viene utilizzato.
L’interfaccia OBD viene frequentemente usata per rilevare dati diagnostici relativi a motore e vettura.
La funzione di chiamata di emergenza, nota come eCall, è stata introdotta sui nuovi veicoli in Europa e Regno Unito nel 2018. Questo sistema di soccorso mira ad offrire un supporto rapido in caso di incidenti stradali. I sensori del veicolo possono rilevare la collisione e determinare se i dispositivi di protezione sono stati attivati, inviando automaticamente una richiesta di soccorso ai servizi di emergenza.
Gli eCall raccolgono informazioni come le coordinate GPS del veicolo, la direzione di marcia, il numero identificativo VIN, il tipo di carburante e se le cinture di sicurezza sono state utilizzate in caso di incidente.
Le chiavi non solo permettono di bloccare e sbloccare le auto, ma contengono anche molte informazioni. Tra queste vi sono il numero di identificazione del veicolo (VIN), il numero di chiavi associate ad un veicolo specifico e l’ultima volta che il veicolo è stato bloccato o sbloccato.
Le telecamere di retromarcia e sul cruscotto possono aiutare nel parcheggio e fornire registrazioni video degli incidenti ai periti assicurativi, ma possono anche rivelare il percorso effettuato dal veicolo, la data e l’ora, nonché la posizione stradale. Queste telecamere possono anche catturare immagini di altri utenti della strada e pedoni. In alcune nazioni sono attivi portali web che permettono ai proprietari di dash cam di inviare i video alle forze di polizia al fine di facilitare le indagini.
Guidiamo sicuri … e controllati
Sembrerà banale, ma una cosa è certa, quando ci sediamo in auto siamo nel posto più controllato del nostro ecosistema.
Tutti i dispositivi citati, lavorano di concerto per offrirci sicurezza ed un’eccellente esperienza di guida. Non possono fare a meno di trattare una moltitudine di informazioni che ci riguardano e dobbiamo acquisire il giusto grado di consapevolezza quando ci mettiamo alla guida.
Per fare un esempio, il semplice passaggio di mano di un veicolo, può rivelare al futuro possessore i nostri indirizzi preferiti, gli ultimi percorsi, la nostra agenda e rubrica telefonica, semplicemente perché abbiamo dimenticato di eliminare i dati replicati nella memoria dell’infotainment.
Pensate a questa svista in occasioni di noleggio e car sharing.
Le minacce crescono di pari passo con l’introduzione della complessità
C’è chi, nel 2019, è riuscito a mandare fuori strada una Tesla con del semplice nastro adesivo bianco posto sulla carreggiata come falsa linea di mezzeria.
Non parliamo di una singola goliardata. Ci sono schiere di tecnici che, coadiuvati da hackers specializzati, svolgono test d’ogni genere con tecniche di car hacking.
Alterazione dei segnali, abuso di protocolli, manomissione del traffico dati, disabilitazione di sensori e rilevatori, sono tutte pratiche che, se da un lato possono provare l’efficienza dei dispositivi, se utilizzati con scopi malevoli, possono causare anche danni seri.
Facciamo un paio di esempi per capire
L’esclusione forzata della segnalazione di pressione degli pneumatici, tramite un TPMS (Tire Pressure Monitoring System) bypass emulator. Pensiamo alle potenziali conseguenze in marcia ad alta velocità.
Un replay attack sulla rete CAN bus mediante un dispositivo CANtact su porta OBD2 o, diversamente, l’attuazione di azioni mediante CAN bus. Lo sblocco delle portiere in corsa, per citarne una.
Qualche cenno storico
Nell’ultimo decennio si sono susseguite dimostrazioni di attacchi informatici contro i veicoli. Vediamone alcune:
- Il primo caso documentato di car hacking risale al 2010, quando due ricercatori, Charlie Miller e Chris Valasek, hanno dimostrato come fosse possibile intercettare i segnali wireless di un’auto e prenderne il controllo. La vettura presa di mira era una Toyota Prius.
- Nel 2015, durante una dimostrazione a Las Vegas, un gruppo di hacker, formato da Charlie Miller e Chris Valasek, ha mostrato come sia possibile controllare le funzioni di una Jeep Cherokee attraverso una app vulnerabile.
- Nel 2016 un gruppo di ricercatori ha scoperto una vulnerabilità nei sistemi di infotainment di alcune auto BMW, Mini e Rolls-Royce, che ha permesso loro di controllare funzioni come il climatizzatore, i finestrini e la radio.
- Nel 2017 il Tencent Security Keen Lab, ha dimostrato come sia possibile compromettere il sistema di sicurezza delle auto Tesla, aprendo la porta dell’auto senza chiave e prendendo il controllo del volante.
- Nel 2019 il ricercatore, Ken Munro della Pen Test Partners, ha mostrato come sia possibile sfruttare una vulnerabilità nel sistema di infotainment di auto Fiat Chrysler per prenderne il controllo e accedere ai dati sensibili degli utenti.
Un percorso ancora lungo
Dopo essersi concentrata sull’incremento di opzioni e dispositivi, l’industria automobilistica ha realizzato che vi fosse un significativo problema di sicurezza.
La norma ISO/SAE 21434, pubblicata nell’Agosto 2021, sia pur con dei limiti, tenta di regolare aspetti inerenti alla cyber security in ambito automotive.
La superficie di attacco, già ampia, diventerà enorme con il lancio di modelli di veicolo dotati di comunicazioni long range 5G e comunicazioni V2V (vehicle to vehicle) e V2X (Vehicle to Everything).
La percezione dei fattori di rischio da parte dell’utenza non è sufficiente. A partire dal 2023, le leggi impongono ai costruttori di dimostrare di aver adottato misure di cyber sicurezza adeguate, tenendo conto del livello tecnologico attuale.
Nel frattempo, occhio alle colonnine di ricarica. Una vulnerabilità dello standard CCS Combo da queste utilizzato, consente di interrompere la ricarica dei veicoli mediante un segnale radio in un raggio di 47 metri.
Autore: Marco Marra