Hacker ricostruiscono ogni spostamento di un’auto incidentata grazie a un singolo modulo informatico

Un esperimento che svela i rischi per la privacy delle auto moderne

Oggi è quasi impossibile sfuggire al tracciamento: smartphone, computer, dispositivi "smart" e persino le automobili raccolgono costantemente dati su di noi. Sebbene alcuni credano che sia ancora possibile acquistare un’auto senza sistemi di navigazione o SOS basati su GPS, la realtà è ben diversa. La maggior parte dei veicoli prodotti negli ultimi vent’anni è dotata di scatole nere digitali, in grado di registrare una quantità impressionante di informazioni, spesso senza alcuna forma di crittografia.

Il modulo telematico: una miniera di dati non protetti

I veicoli moderni sono equipaggiati con moduli telematici, dispositivi che gestiscono le comunicazioni tra l’auto e le reti esterne, inclusi i sistemi GPS. Questi moduli possono memorizzare dati estremamente dettagliati, come lo stato meccanico del veicolo e la sua posizione geografica, anche dopo essere stati rimossi dall’auto. In molti casi, tali dati rimangono accessibili senza alcuna protezione, permettendo a chiunque ottenga fisicamente l’accesso al modulo di ricostruire ogni spostamento compiuto dal veicolo nel corso della sua vita.

La dimostrazione dei white hat hacker

Un gruppo di ricercatori di sicurezza informatica ha voluto verificare questa ipotesi acquistando un modulo telematico usato da un’auto incidentata, nello specifico un BYD Seal. L’obiettivo era chiaro: dimostrare che, anche senza accesso diretto al veicolo, era possibile estrarre e analizzare i dati memorizzati nel dispositivo.

Poiché il modulo non era compatibile con gli strumenti di lettura standard, i ricercatori hanno dovuto realizzare un proprio adattatore per collegarlo a un tool USB, simile ai dispositivi utilizzati per modificare le mappe di carburante nei veicoli tuning, ma senza l’interfaccia OBDII. Grazie a questo sistema, sono riusciti a scaricare l’intero file system del modulo, incluse le partizioni modem, custapp e system.

«Da lì, lo strumento ubireader ci ha permesso di ottenere l’intero file system del modem, delle applicazioni personalizzate e delle partizioni di sistema», hanno spiegato i ricercatori nel loro rapporto. «Una volta estratti i file, abbiamo potuto analizzare il file system principale (rootfs) e lo spazio utente (usrfs) alla ricerca di dati interessanti o nascosti».

Ogni spostamento ricostruito senza crittografia

Il passo successivo è stato quello di decifrare i log GNSS (sistema satellitare globale per la navigazione) presenti nel modulo. Poiché i dati non erano crittografati, l’operazione si è rivelata relativamente semplice. I ricercatori sono riusciti a ricostruire l’intera storia del veicolo, dalla sua produzione in una fabbrica cinese, al suo utilizzo nel Regno Unito, fino al suo smantellamento finale in Polonia.

«Ogni movimento e sosta lungo il percorso è registrato nei log, offrendo un quadro completo degli spostamenti del veicolo», hanno dichiarato i ricercatori. «Per ottenere questo risultato, non sono stati necessari strumenti specializzati né accesso a database privati. Gli strumenti OSINT (Open-Source Intelligence) pubblicamente disponibili sono stati più che sufficienti».

OSINT: la potenza dei dati pubblici

OSINT è un termine che indica l’intelligence basata su fonti aperte, ovvero la raccolta di informazioni disponibili pubblicamente su internet senza la necessità di pagare per accedervi. In questo caso, i ricercatori hanno utilizzato questi strumenti per collegare i punti anomali nei dati a eventi reali, mappando con precisione gli spostamenti del veicolo.

Le implicazioni per la privacy dei proprietari di auto

Questo esperimento solleva gravi preoccupazioni sulla privacy dei dati raccolti dalle auto moderne. Molti veicoli, infatti, memorizzano informazioni dettagliate sui loro proprietari senza adottare misure di sicurezza adeguate. Se un modulo telematico usato può essere acquistato online e analizzato per ricostruire la storia di un veicolo, cosa potrebbe succedere con dati ancora più sensibili?

Gli esperti sottolineano la necessità di standard di crittografia più rigorosi e di una maggiore consapevolezza da parte dei consumatori sui rischi legati alla privacy dei dati automobilistici.

«Questo esperimento dimostra che i dati raccolti dalle auto moderne possono essere estremamente vulnerabili. Senza una protezione adeguata, chiunque può accedere a informazioni personali e ricostruire la storia di un veicolo, mettendo a rischio la privacy dei proprietari».