Il codice sorgente dell’Unità Logica di Bordo OLU di Mercedes, ovvero parte del “cuore” delle prossime auto a guida autonoma, è andato online a disposizione di tutti, involontariamente.
Per “OLU” si intende un componente che si trova tra l’hardware e il software dell’auto e collega i veicoli al cloud. Secondo Daimler, l’OLU semplifica l’accesso tecnico e la gestione dei dati dei veicoli in tempo reale, e consente agli sviluppatori di terze parti di creare app che utilizzano i dati dai furgoni Mercedes. Al momento si tratta sostanzialmente di funzioni relative al monitoraggio delle flotte, dello stato dei veicoli ed eventualmente del loro blocco in caso di furto. Guardando al futuro possiamo immaginare come l’OLU possa essere parte integrante dei sistemi a guida autonoma, facendo colloquiare i veicoli tra loro, oppure facendoli gestire in remoto, come potrebbe essere nel caso dei cosiddetti robotaxi.
A rivelarlo è stato ZDNet, che ha raccontato quanto è accaduto all’ingegnere informatico svizzero Till Kottmann. Kottman ha infatti trovato online un “git web portal” di proprietà Daimler. Si tratta di un sito utilizzato come archivio per tutti i file di un progetto, che possono essere modificati e che tiene traccia di tutte le modifiche. Uno strumento potente ed importante, alla cui base c’è il linguaggio Git inventato da Linus Torvald, ovvero il papà di Linux, ed utilizzato da moltissime aziende ed organizzazioni.
Il bello, o il tragico a seconda dei punti di vista, è che Kottman è riuscito a registrarsi a questo portale Daimler senza avere alcuna email aziendale o credenziale di accesso particolare. A questo punto l’ingegnere svizzero è riuscito a scaricare più di 580 Git repository contenenti il codice sorgente delle unità logiche integrate OLU installate nei furgoni Mercedes. I repository sono stati resi pubblici nel fine settimana, su MEGA, su Internet Archive e sul server GitLab personale di Kottman.
Attenzione, perchè non si tratta di un atto di “hackeraggio” vero e proprio, quanto piuttosto di una disattenzione dei sistemisti Daimler. C’è da dire che resta qualche dubbio sull’opera di Kottmann, perchè in questi casi di solito si cerca di avvisare l’azienda prima di rendere pubblica la “falla”. D’altra parte GitLab permetteva a chiunque di registrare un account, e chi ha controllato il codice sorgente afferma di non aver trovato avvertimenti in merito a tecnologia proprietaria piuttosto che open source.
I progetti trapelati online comprenderebbero sia codice sorgente dei componenti OLU, ma anche componenti Daimler per la gestione di OLU remote, documentazione interna, esempi di codice ed altro. Secondo ZDNet, se in un primo momento la situazione non sembrava destare preoccupazione, si è poi scoperto che era possibile recuperare password e token API per i sistemi interni di Daimler. Queste password e token di accesso potrebbero essere utilizzate da malintenzionati per intrusioni nel cloud e la rete interna di Daimler.
—–
Se questo articolo vi è piaciuto, condividetelo sui vostri social e seguiteci su Facebook, Twitter, Instagram e Flipboard. Non esitate ad inviarci le vostre opinioni e le vostre segnalazioni commentando i nostri post.