Manomettere le funzionalità di un’auto a distanza ora è possibile. Lo dimostra uno studio del Cnr di Pisa che ha elaborato ‘Candy Cream’, un exploit, ovvero un programma informatico di attacco a un software, che attraverso il sistema di infotainment è in grado di alterare alcune funzioni della vettura come manomettere la chiusura centralizzata, aumentare i giri del motore segnalati dal tachimetro, azionare i tergicristalli e le frecce di emergenza.
L’exploit è stato elaborato e usato in via sperimentale dai ricercatori del Cybersecurity lab dell’Istituto di informatica e telematica del Cnr di Pisa, Gianpiero Costantino e Ilaria Matteucci. Il programma, nella versione di prototipo, permette di sfruttare una vulnerabilità riscontrata in un sistema di infotainment Android per accedere alle funzionalità dell’auto in modo totalmente invisibile all’utente, usando l’autoradio come ponte fra l’attaccante remoto e la rete intraveicolare. «L’attacco – spiegano Costantino e Matteucci – è stato sviluppato secondo una strategia ben nota, il cui primo passo è stato l’analisi delle potenziali vulnerabilità presenti nell’autoradio Android con sistema operativo Marshmallow». La vulnerabilità è stata sfruttata per accedere al veicolo e successivamente connettersi al sistema Controller area network (Can), che sovraintende alle informazioni derivanti dalle centraline e dai sistemi di controllo del veicolo.
