Immaginate di parcheggiare la vostra amata Honda Civic davanti a un hotel, dare le chiavi al valet e ritrovarvi l’auto che, senza che abbiate toccato nulla, ha un nuovo sistema operativo custom installato nel cruscotto. Sembra l’inizio di un film di spionaggio low-budget, ma è la realtà tecnica di una vulnerabilità che l’autore di un recente paper ha ribattezzato «EvilValet».
Il cuore della questione è il sistema di infotainment (quella famosa headunit che usiamo per far girare Spotify e non soffrire durante il traffico). Qualcuno ha deciso di fare l’esperto di reverse engineering sulla Honda Civic del 2021 e ha scoperto una falla che farebbe impallidire un hacker di fascia bassa. In pratica, il processo di aggiornamento via USB di Honda è un vero disastro di sicurezza. Nonostante i vari controlli, il sistema accetta file di aggiornamento AOSP (Android Open Source Project) firmati con una chiave di test pubblica che è rimasta lì, speranzosa, in un angolo del filesystem.
Tradotto per chi mastica codice: se riesci a formattare una chiavetta USB e a firmare un pacchetto con quella chiave, hai il controllo totale. Non serve nemmeno il root classico con i suoi setuid complicati; basta l’accesso fisico alla porta USB davanti a te. È quello che in gergo chiamiamo «evil maid attack», ma visto che parliamo di un parcheggiatore che ti ruba l’identità digitale dell’auto, «EvilValet» è un nome decisamente più figo.
Per noi che passiamo le notti a smanettare con i microcontrollori o a compilare kernel custom, questa notizia è un mix di eccitazione e profonda frustrazione. Da un lato, c’è la soddisfazione tecnica di vedere come un progetto di reverse engineering possa smontare pezzo per pezzo un sistema proprietario, con strumenti come «ota-builder» o «apk-rebuilder» che automatizzano il lavoro sporco di ricostruzione delle risorse e del codice smali. È puro artigianato digitale.
Dall’altro lato, è un promemoria del fatto che le big tech stanno diventando sempre più pigre. Invece di implementare una vera sicurezza crittografica, lasciano le chiavi sotto lo zerbino sperando che nessuno le veda. È l’ennesimo esempio di quel design mediocre dove la comodità dell’aggiornamento OTA (Over-The-Air) vince sulla sicurezza fondamentale.
Cosa significa per noi maker? Che il confine tra hardware ‘chiuso’ e software ‘aperto’ è sempre più labile. Se hai una macchina moderna, la tua privacy non dipende solo da quanto sei bravo a gestire i permessi su Android, ma da quanto è competente il tizio che ti parcheggia l’auto. La lezione è chiara: se un sistema permette l’aggiornamento fisico senza una verifica d’identità solida, non è un sistema sicuro, è solo un invito a cena per chiunque sappia usare una chiavetta USB.
Source: Honda Civics and the Evil Valet