Furti d’auto, svelato il bug del telecomando: ecco l’elenco dei veicoli coinvolti

Erano finiti nelle aule di tribunale, due anni fa, per cercare coprire il problema ma una soluzione legale ha permesso a tre ricercatori di rivelare un grave difetto del sistema elettronico utilizzato nei telecomandi di centinaia di auto in circolazione. Un brutto colpo per Volkswagen e le alte case automobilistiche, che avevano schierato flotte di avvocati per evitare che la ricerca diventasse di dominio pubblico. Oggetto dello studio* dei ricercatori è il transponder Megamos Crypto, uno dei dispositivi più utilizzati nell’elettronica delle auto, responsabile del codice crittografico scambiato tra il veicolo e il controllo remoto. Il transponder include una chiave segreta di 96 bit, codice del software proprietario, e un codice Pin 32-bit, ma i ricercatori hanno scoperto che la sua sicurezza interna era più debole.

Quando la chiave meccanica è stato sostituita dal telecomando, i meccanismi di crittografici non sono stati rafforzati per compensare” scrivono i ricercatori. Con questo studio vogliamo sottolineare quando sia importante per l’industria automobilistica migrare da deboli crittografie proprietarie come questa a codici comunitari rivisti e utilizzati secondo le linee guida”.

L'elenco delle auto che utilizzano il tranponder Megamos Crypto: in grassetto le auto su cui i ricercatori hanno svolto la sperimentazione (Usenix Association).

Uno dei ricercatori, Flavio D. Garcia dell'Università di Birmingham, ha aggiunto:

È un po' come se la password fosse stata password”.

I risultati sono stati presentati mercoledì scorso alla conferenza Usenix di Washington, dopo aver dato al produttore di chip svizzero nove mesi per risolvere il problema, a fine 2012, prima di programmare la pubblicazione della ricerca. L'elenco delle auto include principalmente Audi, Fiat, Honda, Volkswagen e Volvo, ma anche marchi di lusso come Bentley e Lamborghini.

Volvo non ha commentato ufficialmente la sua posizione, ma ha sottolineato che ad essere interessati dal problema sono i modelli più vecchi e che il tranponder Megamos Crypto non è più utilizzato in nessuno dei veicoli Volvo attualmente in produzione. Tim Watson, direttore della sicurezza informatica presso l’Università di Warwick ha spiegato a Bloomberg:

Si tratta di un difetto grave, non è molto facile da correggere rapidamente. Non si tratta di una debolezza teorica, ma di un effettivo problema che ha un costo non solo teorico ma anche in dollari reali”.

* 22nd USENIX Security Symposium – Dismantling Megamos Crypto: Wirelessly Lockpicking aVehicle Immobilizer