David Colombo, il ragazzo balzato sulle cronache di tutto il mondo dopo aver raccontato di essere riuscito ad hackerare 25 Tesla in 13 paesi diversi. Per controllo remoto si intende la possibilità di aprire le porte, i finestrini, disabilitare la Sentry Mode, e avviare il motore. Inoltre, è anche riuscito ad accedere in remoto alla posizione delle auto, così come era in grado di avviare la riproduzione di contenuti multimediali nell’abitacolo.

Colombo ha sottolineato la pericolosità della situazione, riferendo che era potenzialmente in grado di aprire le porte o attivare gli abbaglianti anche a veicolo in movimento ma ha poi aggiunto che non poteva effettivamente interagire con sterzo, acceleratore e i freni. Il ragazzo ha aggiunto che la vulnerabilità, la quale gli ha presumibilmente permesso di entrare in controllo remoto dei veicoli, non dipende dall’infrastruttura Tesla ma da alcune mancanze dei proprietari dei veicoli. Al momento non è chiaro cosa intendesse ma secondo quanto emerso su Twitter, un’applicazione di terze parti per le vetture, chiamata TezLab, ha riferito di aver visto la «scadenza simultanea di diverse migliaia di token di autenticazione da parte di Tesla». Nello specifico, l’app utilizza i protocolli (Api) messi a disposizione dal’azienda di Elon Musk che permettono di compiere diverse azioni sulle vetture. La Tesla infatti è una delle poche case automobilistiche che può contare su diverse applicazioni di terze parti disponibili. Del resto basta andare su Github per constarne il quantitativo. Bisogna quindi precisare che l’utilizzo di queste app realizzate da sviluppatori indipendenti deve essere opportunamente valutato, soprattutto quando sono richieste una o più autorizzazioni per accedere a determinati parametri dell’auto.

Inizialmente non è riuscito ad avvertire i proprietari dei veicoli del problema, ma nel frattempo ha raggiunto il team di sicurezza Tesla, il quale si è messo a lavoro per studiare la situazione. Stando sempre al racconto del giovane, il team di sicurezza Tesla ha successivamente rilasciato una patch specifica per la vulnerabilità.