Come hackerare una bicicletta

Lavoro nel campo della sicurezza informatica da anni e mi trovo spesso a pensare che non c’è più niente che gli hacker possano fare per sorprendermi, figuriamoci per scioccarmi. Baby monitor? Già hackerati. Automobili? Pure quelle, più e più volte, e di qualsiasi produttore. E non solo auto, ma persino autolavaggi. Robot giocattolo, mangiatoie per animali domestici, telecomandi TV… si salvano almeno gli acquari? No: hackerati pure i pesci!

E che dire delle biciclette? Sembravano a prova di hacker fino a poco tempo fa. A metà agosto 2024, però, è comparso uno studio che descrive un attacco informatico portato a termine su una bicicletta. Più precisamente, su una bici dotata della tecnologia di cambio Shimano Di2.

Ingranaggi ed elettronica: Shimano Di2 e simili

Innanzitutto, qualche precisazione per chi non è al passo con le ultime tendenze delle tecnologie su due ruote. Cominciamo col dire che l’azienda giapponese Shimano è il più grande produttore mondiale di componenti per biciclette, per la precisione quelli aggiunti al telaio per creare una bicicletta funzionante, come trasmissioni, sistemi di frenatura e così via. Sebbene l’azienda sia specializzata in attrezzature meccaniche tradizionali, da tempo (cioè dal 2001) sperimenta anche l’elettronica.

I classici sistemi di cambio sulle biciclette si basano su cavi che collegano fisicamente i deragliatori (che guidano la catena sulle varie ruote dentate) alle leve del cambio sul manubrio. I sistemi elettronici, invece, fanno a meno di tale connessione fisica: il cambio in questo caso invia un comando al deragliatore in modalità wireless, e questo sposta la catena su una diversa ruota dentata con l’aiuto di un piccolo motore elettrico.

I sistemi di cambio elettronico possono anche impiegare fili. In questo caso, invece di un tradizionale cavo, un filo tra cambio e deragliatore trasmette i comandi. A essere più in voga oggi, tuttavia, sono i sistemi wireless, in cui il cambio invia comandi al deragliatore tramite un segnale radio.

I sistemi di cambio elettronico Shimano Di2 attualmente dominano il segmento di fascia alta della linea di prodotti dell’azienda. Lo stesso accade nelle linee di prodotti dei suoi principali concorrenti: l’americana SRAM (la prima a introdurre le leve del cambio wireless) e l’italiana Campagnolo.

In altre parole, moltissime bici da strada, gravel e mountain bike nella fascia di prezzo più alta usano già da tempo il cambio elettronico, e sempre più bici sono wireless.

La versione wireless dello Shimano Di2 in realtà non è poi così wireless. All’interno del telaio della bici ci sono alcuni fili: A e B rappresentano i fili che vanno dalla batteria ai deragliatori, rispettivamente. Fonte

A prima vista, il passaggio dalla meccanica all’elettronica ha senso: tra le altre cose, i sistemi elettronici offrono maggiore velocità, precisione e facilità d’uso. Detto questo, il wireless sembra innovazione per il solo gusto dell’innovazione, poiché i vantaggi pratici per il ciclista non sono poi così evidenti. Allo stesso tempo, più un sistema diventa smart, più problemi potrebbe fare nascere.

E ora è il momento di entrare nel vivo di questo post: il bike hacking…

Studio sulla sicurezza del sistema di cambio wireless Shimano Di2

Un team di ricercatori della Northeastern University (Boston) e della University of California (San Diego) ha analizzato la sicurezza del sistema Shimano Di2. I modelli specifici sotto esame erano lo Shimano 105 Di2 (per le bici da strada di fascia media) e lo Shimano DURA-ACE Di2 (il top di gamma per ciclisti professionisti).

In termini di capacità di comunicazione, questi due sistemi sono identici e completamente compatibili. Entrambi usano Bluetooth Low Energy per comunicare con l’app per smartphone Shimano e il protocollo ANT+ per connettersi ai computer sulla bici. Ancora più importante, i cambi e i deragliatori comunicano usando il protocollo proprietario di Shimano sulla frequenza fissa di 2,478 GHz.

Questa comunicazione è, a conti fatti, piuttosto primitiva: il cambio comanda al deragliatore di aumentare o diminuire la marcia e il deragliatore conferma la ricezione del comando. Se non riceve la conferma, invia di nuovo il comando. Tutti i comandi sono criptati e la chiave di criptaggio sembra essere univoca per ogni coppia di cambi e deragliatori. Tutto sembra perfetto, tranne per un dettaglio: i pacchetti vengono trasmessi senza timestamp, né codice monouso. Di conseguenza, i comandi sono sempre gli stessi per ogni coppia cambio/deragliatore, il che rende il sistema vulnerabile a un attacco di replay. In altre parole, gli aggressori non hanno nemmeno bisogno di decriptare i messaggi trasmessi: possono intercettare i comandi criptati e usarli per cambiare marcia sulla bici della vittima.

Per intercettare e riprodurre i comandi, i ricercatori hanno usato una normale radio definita dal software. Fonte

Usando una radio definita dal software (o SDR, Software-Defined Radio), i ricercatori sono stati in grado di intercettare e riprodurre i comandi, ottenendo il controllo del cambio. Non solo, ma il raggio di attacco effettivo, anche senza modificare l’attrezzatura o usare amplificatori o antenne direzionali, arrivava a 10 metri, più che sufficiente nel mondo reale.

Perché gli attacchi Shimano Di2 sono pericolosi

Come fanno notare i ricercatori, il ciclismo professionistico è uno sport altamente competitivo con un grande giro di affari. Imbrogliare, in particolare usare sostanze vietate, non è una pratica estranea a questo sport. E un vantaggio altrettanto subdolo potrebbe essere ottenuto sfruttando le vulnerabilità nell’attrezzatura di un concorrente. Pertanto, gli attacchi informatici nel mondo del ciclismo professionistico potrebbero facilmente diventare realtà.

L’attrezzatura usata per questi attacchi può essere miniaturizzata e nascosta addosso a un ciclista scorretto o in un veicolo di supporto, o posizionata da qualche parte sulla pista o sul percorso. Inoltre, i comandi dannosi possono essere inviati in remoto da personale di supporto.

Un comando impartito per cambiare marcia durante una salita o uno sprint, ad esempio, potrebbe compromettere seriamente le prestazioni di un avversario. E un attacco al deragliatore che cambiasse marcia bruscamente, potrebbe inceppare la bicicletta. Nella peggiore delle ipotesi, un imprevisto e brusco cambio di marcia potrebbe danneggiare la catena o farla volare via ferendo il ciclista.

Le vulnerabilità nello Shimano Di2 consentono a un utente malintenzionato di controllare a distanza il cambio di una bicicletta o di eseguire un attacco DoS. Fonte

Oltre ai cambi di marcia dannosi, i ricercatori hanno anche esplorato la possibilità di ciò che chiamano “inceppamento mirato” delle comunicazioni tra cambi e deragliatori. L’idea è di inviare continui comandi ripetuti alla bici della vittima. Ad esempio, se il comando di cambio marcia viene ripetuto rapidamente più volte, il cambio raggiungerà la marcia più alta e rimarrà lì, non rispondendo più ai comandi originali (impartiti dal corridore). Essenzialmente, è un attacco DoS al sistema di cambio marcia.

In conclusione

Come fanno notare gli autori, Shimano è stata scelta come oggetto dello studio semplicemente in quanto azienda detentrice della maggiore quota di mercato. Non sono stati esaminati i sistemi wireless dei concorrenti di Shimano, SRAM e Campagnolo, ma i ricercatori ammettono che anche questi potrebbero essere vulnerabili a tali attacchi.

Shimano è stata informata della vulnerabilità e sembra averla presa sul serio, avendo già sviluppato un aggiornamento. Al momento della pubblicazione di questo post, tuttavia, solo le squadre di ciclismo professionistiche lo hanno ricevuto. Shimano ha assicurato che renderà disponibile l’aggiornamento al pubblico più avanti e le biciclette potranno essere aggiornate tramite l’app E-TUBE PROJECT Cyclist.

La buona notizia per i ciclisti non professionisti è che il rischio è trascurabile. In ogni caso, se la tua bici è dotata della versione wireless Shimano Di2, assicurati di installare l’aggiornamento non appena disponibile.