La app mobile di Tesla è davvero un valore aggiunto per chi possiede un'auto elettrica del produttore americano: dallo smartphone si può controllare il livello di carica, aprire le portiere, ricevere indicazioni verso gli spazi ancora liberi in un affollato parcheggio. Ma, come tutte le applicazioni su smartphone, anche quella di Tesla può essere violata dagli hacker e il rischio è che i pirati informatici si mettano indisturbati al volante della nostra Model S o Model X e addio. Allarmismi? La società norvegese di cybersecurity Promon ha dimostrato che è perfettamente possibile entrare nella app Tesla e usarla per localizzare il veicolo, aprirne le portiere e partire.
Prima dimostrazione
Promon è giunta a queste conclusioni in uno scenario di test, ha chiarito il fondatore e Ceo della società Tom Lysemose Hansen, ma si tratta di qualcosa di più della semplice dimostrazione di una falla del software, come quella portata alla luce a settembre dal team Keen di Tencent. I cyber esperti di Tencent sono entrati nell'area di controllo del sistema di una Model S per sbloccare le porte, aprire il portabagagli e pigiare sui freni mentre l'auto era in movimento (falla subito riparata da Tesla); Promon, invece, ha usato per la prima volta specificamente la app provando che, una volta riusciti a compromettere l'applicazione su smartphone, si può arrivare al furto dell'auto.
Il test degli esperti
Per "hackerare" la app di Tesla, Promon ha creato un hotspot wifi nei pressi di una stazione di ricarica Tesla Supercharger e fatto girare sulla rete una pubblicità che, in cambio di uno sconto, chiedeva all'utente la creazione di un account. La creazione di questo account in rete permette all'hacker di installare sul device dell'utente un malware, ovvero un software maligno che sottrae username e credenziali per accedere alla app. Il gioco è fatto. I veicoli Tesla sono iper-connessi a internet e "usano non più una chiave fisica ma virtuale, quindi tecnologie simili a quelle del mondo delle banche e dei pagamenti", osserva Hansen. "Perciò Tesla e tutta l'industria dell'auto devono offrire livelli di sicurezza elevatissimi come fanno le banche. Oggi non è così".
Non è solo colpa di Musk
Promon ha confermato però di essere già in contatto con Tesla, che vuole capire come rafforzare la sicurezza della sua app. Nessun veicolo del produttore americano è stato mai rubato violando l'applicazione mobile, ma la dimostrazione di Promon serve ad alzare la soglia di attenzione, non solo da parte di Tesla, ma anche dei produttori di smartphone (specialmente con sistema Android), che sono chiamati a mettere tempestivamente a disposizione degli utenti le "riparazioni" per le falle software del sistema operativo (Os) che di volta in volta vengono trovate. Gli utenti a loro volta devono assicurarsi che il loro smartphone abbia la versione più aggiornata dell'Os e navigare in rete con accortezza per evitare di cliccare su finestre che innescano un malware o fornire dati che possono finire nelle mani sbagliate.
