Le nuove auto, specialmente Tesla, sono essenzialmente dei computer su quattro ruote. Molte delle tecnologie informatiche adottatevi sono riprese dagli standard usati nei devices e nelle infrastrutture informatiche moderne.
Contestualmente, vi sono state trasportate molte delle vulnerabilità dei devices elettronici, dei softwares e dei protocolli portati.
Nei tre giorni della manifestazione Pwn2Own 2024, sono stati trovati decine di bug e vulnerabilità, non solo nelle auto ma anche nei dispositivi di ricarica (in generale, la loro automazione è ottenuta tramite kernel Linux embedded e software specializzato basato sulle varie librerie standard).
Le vulnerabilità non sono state ancora comunicate (le regole del contest richiedono di attendere la risoluzione del vendor); abbiamo comunque indicazioni piuttosto precise su alcune vulnerabilità usate per fare breach nell’auto Tesla, come:
“The attack is sent from a GSM antenna emulating a fake BTS (rogue telecom operator). A first vulnerability gives root access to the modem card of the Tesla,” they wrote. “A second attack jumps from the modem to the infotainment system. And bypassing the security features on this process, it’s possible to access multiple equipment on the car such as the headlights, the windshield wipers, or to open the trunk and the doors.”
Non era molto difficile prevedere che la sicurezza del comparto automotive non differisse poi molto da quella generale ITC; purtroppo il contesto del breach di una auto è ben diverso, cosi come gli effetti; non siamo più in ambito esfiltrazione di dati personali, si parla della reale incolumità fisica dei passeggeri del mezzo hackerato, e di quelli che stanno in prossimità.