24 oct. 2015

Hackers desactivan Airbags de automóviles

Muchas compañías de automóviles están ofreciendo vehículos que se ejecutan con un sistema drive-by-wire, que significa que la mayoría de las funciones -instrumentos de dirección, frenos, y acelerador- del coche son controladas electrónicamente. Sin duda estos sistemas de control automático mejoran experiencia de conducción, pero al mismo tiempo también aumentan el riesgo de ser hackeados.

Previamente, varios investigadores ya han demostraron cómo se puede secuestrar un coche remotamente, controlando su dirección, frenos y transmisión.

Ahora, según un equipo de investigadores, han podido desactivar los airbags de coche –así como otras funciones– explotando una vulnerabilidad 0-Day en un software de terceros que utilizado comúnmente en sistemas mecánicos.

El equipo que viene trabajando desde 2011 [2011] e incluye a András Szijj y Levente Buttyán de CrySyS Lab y Zsolt Szalay de la Universidad de Budapest, demostró el hack [PDF] en un coche Audi TT vendido por Volkswagen pero cualquier marca de coches es potencialmente vulnerable. Esto es debido a que la vulnerabilidad no existe en VW sino en un software de terceros ampliamente utilizado y compatible con los coches vendidos por Volkswagen y otras empresas.

¿Cómo funciona el Hack?

Muchos mecánicos hacen uso de este software para ejecutar diagnósticos. Este hacking requiere: una PC
de un mecánico para ser comprometida o un USB malicioso que puede ser conectado en el vehículo. Esto es necesario para lanzar y lograr el funcionamiento del exploit.
El ataque reemplaza la DLL FTDI, -que se utiliza para comunicarse con el cable de diagnóstico- con una versión maliciosa, que según el trío, es el medio más fácil de controlar los coches conectados. Una vez infectado,se puede tomar el control de sistema de diagnóstico del coche, permitiendo cambiar o desactivar elementos, sin el conocimiento del conductor.

"Todo lo que puede ser encendido o apagado desde la aplicación de diagnóstico se puede activar o desactivar" dijo Buttyán. Más detalles pueden encontrarse en el paper publicado.

Fuente: The Hacker News

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!