Nata dalla mente di Elon Musk, la Tesla Model S è sicuramente l’auto elettrica più famosa del mondo. Non solo permette di coprire una distanza di oltre 500 Km con una ricarica della batteria, ma offre al guidatore tutte le moderne tecnologie informatiche, compreso un enorme touchscreen da 17 pollici. Si tratta dunque di una vera e propria smart car. Ma proprio questa sua caratteristica la rende vulnerabile agli attacchi esterni. Un consulente di sicurezza, Nitesh Dhanjani, proprietario di una Tesla Model S, ha scoperto una serie di bug che possono essere sfruttati per eseguire diverse azioni da remoto.
Per ordinare l’automobile, gli acquirenti devono aprire un account sul sito dell’azienda californiana, scegliendo un nome utente e una password di almeno sei caratteri. Queste credenziali serviranno per sbloccare l’app per iOS che permette di controllare il veicolo (apertura/chiusura delle portiere, visualizzare lo stato della carica e verificare la sua posizione). Fortunatamente, non può essere usata per avviare il motore (occorre il portachiavi), ma un ladro potrebbe rubare tutti gli oggetti presenti nell’abitacolo.
Dhanjani ha infatti scoperto che le vulnerabilità presenti nel sistema di autenticazione aprono le porte (nel vero senso della parola) ad attacchi di vario genere: forza bruta, phishing, malware, furto di password e social engineering. Il sito non impone limiti ai tentativi di accesso, quindi con un attacco brute-force sarebbe possibile effettuare il login e accedere alle funzionalità dell’app (la password è la stessa). Con un attacco di phishing si potrebbero rubare le credenziali di accesso e trovare la posizione dell’auto. Lo stesso risultato si può ottenere con una botnet (la password è “one-factor”). Tra l’altro, gli utenti hanno la cattiva abitudine di usare gli stessi parametri di accesso per diversi servizi web.
Infine, dato che il customer service di Tesla può sbloccare il veicolo da remoto, un hacker potrebbe spacciarsi per il vero proprietario e aprire la Model S, sfruttando le tecniche di ingegneria sociale. Inoltre, le API usate dall’app per iOS possono essere usate da software di terze parti (Tesla for Glass, ad esempio, consente il controllo con i Google Glass). Un’applicazione creata ad hoc potrebbe quindi raccogliere le credenziali di accesso (all’account e all’auto).
Il consulente ha inoltrato la sua ricerca alla casa automobilistica, che ha promesso di investigare sui problemi di sicurezza segnalati. «Non possiamo proteggere le nostre auto come abbiamo protetto i nostri computer in passato, utilizzando password statiche», ha dichiarato Dhanjani durante una presentazione alla conferenza Black Hat Security di Singapore. Tesla deve trovare al più presto una soluzione che garantisca la privacy e la sicurezza per i suoi utenti.