Un ricercatore di sicurezza di 19 anni, David Colombo, ha affermato di essere stato in grado di prendere il controllo di alcune funzioni di dozzine di auto Tesla in tutto il mondo tramite una vulnerabilità in un’app open source che permette ai proprietari di auto di tracciare i movimenti della propria auto, sbloccare le porte da remoto, aprire i finestrini, avviare la guida senza chiave, suonare il clacson e le luci del flash.
Il ricercatore che ha riscontrato il problema ha rilasciato un’intervista a Motherboard chiedendo di non rivelare tutti i dettagli sulle sue scoperte. Ha spiegato che in questo momento ci sono quelle Tesla in tutto il mondo in 13 paesi e sono in grado di disabilitare la modalità sentinella, sbloccare le porte, iniziare a guidare senza chiavi e portarle in viaggio. Sebbene i difetti presenti nell’app abbiano permesso al diciannovenne di tracciare e sbloccare le Tesla in questione, non può controllare a distanza le funzioni più importanti delle auto, come sterzo, accelerazione e frenata.
Ciononostante resta un problema che potrebbe generare caos: “Penso che possa anche portare ad alcune situazioni potenzialmente pericolose sulla strada, se ti piace guidare in autostrada, e poi, casualmente, qualcuno inizia a far esplodere musica al massimo volume o cose del genere”, ha detto.
Colombo ha spiegato che oltre a controllare alcune funzioni delle auto, è stato anche in grado di vedere un sacco di dati sensibili, come il nome che il proprietario ha dato alla sua Tesla, la sua posizione attuale, i percorsi precisi che l’auto ha percorso negli ultimi giorni, la velocità dell’auto e altro ancora.
La prima volta che ha scoperto questi dati, Colombo ha dichiarato di essere rimasto sorpreso dal momento che era “in grado di vedere dove stava guidando questo ragazzo”.
Il ricercatore ha scansionato Internet per più casi come questo e ha trovato più di 125 Tesla in tutto il mondo, in paesi come Germania, Belgio, Finlandia, Danimarca, Regno Unito, Stati Uniti, Canada e Cina.
Naturalmente, il rischio più grande era che qualcuno abusasse della vulnerabilità per individuare una Tesla, andare nella sua posizione e sbloccarla tramite l’applicazione open source vulnerabile di terze parti.
Colombo ha dichiarato di aver collaborato con il manutentore dell’app di terze parti per correggere i difetti e ha sottolineato che i problemi riscontrati non sono responsabilità di Tesla e che le uniche Tesla esposte erano quelle i cui proprietari utilizzavano una specifica app di terze parti. Infatti, il problema sostanzialmente è che l’app in questione comunica con Tesla per estrarre i dati del proprietario dell’auto attraverso l’API dell’azienda ed espone la chiave API privata di molti proprietari a Internet, dove quindi chiunque sa dove cercare, come appunto Colombo.
Al momento Tesla non ha risposto alle richieste di commento inviate a diversi indirizzi e-mail.