25 mar. 2019

Su coche ha sido cibersecuestrado ¿Es seguro un coche conectado?

La seguridad en los automóviles hace tiempo que dejó de centrarse únicamente en los sistemas de prevención de accidentes o en las medidas que incorpora un vehículo para proteger la integridad física de sus ocupantes. Desde hace años vemos como la seguridad lógica de los sistemas electrónicos y de conectividad de los coches se ha puesto en entredicho con numerosas investigaciones, y se ha convertido en un aspecto que deberíamos tener muy en cuenta por los problemas que pueden producirse al respecto.

Alarmas que hacen al coche más inseguro

Por si no hubiera suficiente con los fallos que se encuentran en el software que incluyen los fabricantes en sus vehículos, recientemente se han descubierto fallos graves en sistemas de alarma pensados para, entre otras cosas, evitar robos de vehículos mediante el clonado de llaves electrónicas.
Los investigadores de Pen Test Partners publicaron los resultados de una investigación realizada a varios sistemas de alarmas de coches. Se encontraron defectos graves en los fabricantes Viper y Pandora (dos de las más utilizadas actualmente) instalados en alrededor de 3 millones de vehículos en todo el mundo y que permitirían a un atacante realizar las siguientes acciones:
  • Localizar el coche en tiempo real
  • Averiguar el modelo de coche y datos del propietario
  • Desactivación de la alarma
  • Apertura del vehículo
  • Activar / Desactivar el inmovilizador
  • En algunos casos el motor puede detenerse mientras se conduce el vehículo
  • Un fallo en una de las de alarmas permite espiar al conductor mediante el micrófono incorporado
Las vulnerabilidades descubiertas en el código de las aplicaciones móviles que controlan remotamente estas alarmas son bastante evidentes y están basadas en referencias inseguras a objetos directos en la API. Esto permite a un atacante modificar los parámetros establecidos por el usuario legítimo, como el email, o solicitar una restauración de la contraseña desde el email malicioso y hacerse con el control de la cuenta.

Control y localización del vehículo mediante una de las alarmas – Fuente: Pen Test Partners

Los investigadores encontraron los fallos en las aplicaciones antes de instalar las alarmas y decidieron hacer una prueba de concepto con sus vehículos. De esta forma, consiguieron geolocalizar un vehículo, hacer que se detuviera y secuestrarlo, forzando al propietario a abandonarlo.
La buena noticia es que, de la misma forma que fue fácil encontrar estos fallos y explotarlos, también lo ha sido solucionarlos. Los dos fabricantes de alarmas afectados ya han reconocido estos errores y los han solucionado en poco tiempo.

Contenido completo en fuente original ESET

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!