Prima di procedere
La moderna industria automobilistica ha trasformato i veicoli in veri e propri centri dati su quattro ruote, ma questa evoluzione digitale porta con sé rischi significativi per la riservatezza delle informazioni personali. Un recente esperimento condotto da un gruppo di hacker etici ha messo in luce una vulnerabilità preoccupante: acquistando un semplice modulo telematico usato di una BYD Seal incidentata sul mercato secondario, i ricercatori sono stati in grado di ricostruire l'intera cronologia degli spostamenti del veicolo, senza necessità di attrezzature sofisticate o accessi a database riservati. Questo caso studio solleva interrogativi urgenti sulla gestione dei dati sensibili da parte dei produttori di veicoli elettrici e sulla sicurezza della catena di approvvigionamento dei pezzi di ricambio.
Il componente analizzato è il modulo telematico, il cuore tecnologico che gestisce la connettività del veicolo con le reti internet e mobili. Questo dispositivo integra solitamente un ricevitore GPS e una memoria interna dove vengono archiviate coordinate geografiche, orari di accensione e spegnimento del motore, statistiche di ricarica per i modelli elettrici e persino lo stato dei liquidi tecnici e i codici di errore diagnostici. In molti casi, questi moduli fungono da vera e propria scatola nera, registrando parametri critici nei momenti immediatamente precedenti a un impatto. La scoperta sensazionale è che tali dati rimangono salvati nella memoria del chip anche dopo che il modulo è stato fisicamente rimosso dalla vettura originale e messo in vendita come componente usato.
I ricercatori hanno scelto deliberatamente un modulo proveniente dal mercato dell'usato proprio per testare la persistenza dei log accumulati durante l'uso reale. Per accedere alle informazioni, gli esperti hanno evitato l'interfaccia standard OBD-II, preferendo collegarsi direttamente al chip di memoria tramite un programmatore USB e un cablaggio artigianale. Utilizzando l'utility open-source ubireader, il team ha estratto l'immagine completa del file system, concentrandosi sulle partizioni denominate rootfs e usrfs. Con sorpresa, è emerso che nessuna di queste sezioni era protetta da crittografia, rendendo l'accesso ai log di navigazione globale GNSS un'operazione estremamente semplice per chiunque possieda minime competenze tecniche.
Grazie all'analisi dei dati estratti, è stato possibile tracciare il viaggio della BYD Seal partendo dalla sua origine. I log hanno mostrato il percorso dal nastro trasportatore della fabbrica in Cina, attraverso il periodo di utilizzo sulle strade del Regno Unito, fino alla sua destinazione finale in un centro di smantellamento in Polonia, datato 2024. Oltre ai dati tecnici, gli esperti hanno utilizzato tecniche di OSINT (Open Source Intelligence) per dare un contesto reale ai numeri. Notando un'anomala concentrazione di punti GPS fissi in una specifica località britannica, una ricerca incrociata su Google e sui social media ha permesso di individuare foto e post riguardanti un incidente stradale che vedeva coinvolta proprio una BYD Seal ribaltata. La lunga serie di coordinate statiche era dovuta al fatto che l'auto era rimasta ferma su un fianco dopo il sinistro, continuando a registrare la propria posizione.
Questo problema di sicurezza non riguarda esclusivamente BYD, ma rappresenta una criticità sistemica per l'intero settore automotive. Sebbene aziende come Tesla abbiano iniziato a implementare protocolli di crittografia più severi negli ultimi anni, milioni di veicoli prodotti nell'ultimo ventennio montano a bordo dispositivi che conservano dati di spostamento non protetti. Le normative attuali come il GDPR impongono regole ferree sulla protezione dei dati personali, ma la realtà del mercato dei ricambi dimostra che esiste un vuoto operativo nella cancellazione definitiva delle informazioni dai componenti fisici. Quando un'auto viene rottamata o venduta per pezzi di ricambio, i dati del precedente proprietario viaggiano insieme all'hardware, pronti per essere letti da chiunque sappia dove guardare. In assenza di standard industriali che obblighino alla crittografia hardware di serie su ogni modulo di memoria, la nostra mobilità quotidiana rimarrà un libro aperto per chiunque entri in possesso di un modulo elettronico di recupero.
