Come sappiamo, è pratica comune presso le grandi aziende quella di autorizzare test di hacking sui loro sistemi informatici, nella speranza di evidenziare così delle falle che possano essere tappate prima che vengano scoperte da malintenzionati in grado di produrre danni ben più gravi.
Per questo motivo Tesla, azienda che ha il suo core business nelle auto elettriche e più in generale nelle energie rinnovabili, partecipa da tempo a diversi eventi come la Pwn2Own hacking competition, in cui squadre di esperti stressano i sistemi di sicurezza di diverse aziende, ricevendo dei premi in caso di successo.
Per via del Covid, l’edizione 2020 della competizione è saltata, ma il gruppo di white hacker della Comsecuris GmbH e della Kunnamon, Inc. ha deciso di rendere pubblico il sistema che hanno usato per hackerare un’automobile Tesla Model 3.
Il sistema di hacking, che hanno chiamato TBONE, ha sfruttato delle vulnerabilità del ConnMan, un network manager con linea di comando che permette, tra le altre cose, di spegnere il firewall, modificare le tabelle di routing, etc. Dal momento che le Tesla Model 3 si connettono automaticamente via Wi-Fi al Tesla Service quando sono parcheggiate, gli hacker hanno preso il controllo del sistema di infotainment della vettura e attraverso questo hanno dato il comando di aprire il bagagliaio della vettura (chi volesse approfondire l’hacking può trovare il report completo su Scribd a questo link).
Curioso il fatto che tutto sia iniziato con un drone, utilizzato per raggiungere il parcheggio e consegnare l’exploit. A proposito di questa trovata, gli hacker hanno spiegato che è stato un espediente divertente e comodo, perché ha reso possibile raggiungere il parcheggio senza recarsi fisicamente sul posto (del resto la presenza non era necessaria in quanto TBONE non richiedeva interazioni da parte dell’utente).
Già in passato abbiamo assistito all’uso di droni per hackerare dispositivi connessi in rete, come ad esempio il caso del drone usato per prendere il controllo di una smart tv. Non solo, perché gli stessi droni possono essere violati da terzi che vogliano prenderne il controllo, anche solo carpire i dati da loro registrati.
La falla nel sistema di Tesla di cui parliamo, scoperta l’anno scorso e resa pubblica anche per altri produttori di automobili, è stata prontamente fixata con una patch, ma certo questa dimostrazione rappresenta l’ennesima riprova di come lo sviluppo degli smart device (tra cui anche i droni) e più in generale dell’Internet of Things, richieda di porre massima e costante attenzione sui sistemi di sicurezza, per contrastare l’inevitabile rovescio della medaglia che si nasconde dietro le loro grandi efficienza e comodità, ossia quello di esporre i nostri dati personali (e non solo) verso hacker realmente malintenzionati.
