¿Los vehículos conectados a Internet, una bendición o un problema más?.
Cada vez más, los fabricantes de automóviles implementan sistemas a los vehículos para hacerlos más eficientes y adaptarlos a las nuevas tendencias del mercado tecnológico cosa que si bien es cierto a muchos les gusta y puede que facilite su conducción o desempeño, abre las puertas para un nuevo tipo de ataque tecnológico, ya hace un tiempo comentaba como un hacker podía hacerse con el control de un vehículo vía bluetooth, ahora imagínense las posibilidades si el vehículo está conectado a Internet.
La firma de seguridad digital Kaspersky realizó un estudio sobre la seguridad de la conectividad en automóviles, una tendencia creciente en el mundo automotriz sobre la que se identificaron potenciales vectores que podrían propiciar un ataque.
En conjunto con la asociación IAB Spain, la empresa buscó con el “Primer Estudio de Coches Conectados” una perspectiva de la situación del mercado de los autos conectados, aunando toda la información disponible, resolviendo las preguntas frecuentes y comprendiendo la alta fragmentación existente entre los fabricantes.
Junto con proveer nuevas comodidades, los servicios de conectividad en los autos también representan nuevos riesgos para los usuarios. Esto sobre todo si se habla de acceso a redes sociales, correo electrónico, conectividad con el smartphone, cálculo de rutas y aplicaciones que se ejecutan en el carro, entre otros.
De acuerdo con el analista senior de malware de Kaspersky Lab, Vicente Díaz, existen tres focos de ataque: “Los coches conectados abren la puerta a amenazas que ya existían en el mundo del PC y de los smartphones, pero adaptadas a este nuevo medio. Además, la problemática de la privacidad de datos también llega al segmento del automóvil con gigantes como Google, que ya han colonizado algunos de los modelos del informe con su tecnología de búsquedas”.
“Los riesgos que pueden sufrir los usuarios de estos vehículos conectados van desde el robo de contraseñas, apertura de puertas, acceso a servicios remoto, localización del coche e incluso el control físico del vehículo”, añadió.
Entre las conclusiones que arrojó el informe están la existencia de una alta fragmentación de sistemas operativos, modos de conexión y apps. También el ambiente propicio para el surgimiento de servicios gratuitos durante un tiempo limitado, por la oferta de muchos fabricantes de una suscripción gratuita durante un tiempo determinado.
Por otro lado, está el problema de la cobertura, ya que muchos de los servicios online necesitan de cobertura 3G para funcionar con normalidad. En esa línea, el consumo de datos puede obligar al usuario a contratar una tarifa adicional.
Y por último está que la mayoría de los modelos usan la que ya que es una de las maneras más seguras de controlar la oferta de conectividad que ofrecen los fabricantes: los asistentes vocales.
Potenciales ataques
Con la prueba de concepto realizada por Kaspersky Lab, basada en el análisis del sistema BMW ConnectedDrive, se descubrieron los siguientes aspectos sensibles:
1.- Robo de credenciales
El robo de credenciales de usuario para acceso al portal de BMW, ya sea mediante phishing, keyloggers o ingeniería social, permitiría a un tercero acceder a información del usuario y del vehículo. A partir de aquí se podría instalar la aplicación para móvil con estas mismas credenciales que, en caso de tener activados los servicios remotos, podría permitir activar la apertura de puertas por ejemplo.
2.- Aplicación móvil
En caso de tener los servicios de apertura remota activados el móvil se convierte en las llaves. Si la aplicación no está bien asegurada, podría ser un vector de ataque en caso de robo del teléfono. En este caso, parece que es posible modificar la base de datos de la aplicación para evitar la autenticación PIN, por lo que un atacante podría evitarla y activar los servicios remotos.
3.- Actualizaciones
El proceso de actualización de los drivers bluetooth es a partir de la descarga de un archivo desde la web de BMW que posteriormente instalaremos en el carro mediante un USB. Este archivo no está cifrado ni firmado, y es posible encontrar dentro del mismo mucha información interna del sistema que se ejecuta en el vehículo. Esto daría a un atacante potencial con acceso físico la posibilidad de conocer el entorno atacado. También parece que podría modificarse la actualización para ejecutar código malicioso.
4.- Comunicaciones
Algunas funciones se comunican con la SIM interna del vehículo mediante mensajes SMS. Estos mensajes se pueden llegar a descifrar y enviar haciéndose pasar por otro remitente, en función del cifrado de la operadora. En el peor de los casos se podría reemplazar a BMW para la comunicación de ciertos servicios.
No hay comentarios:
Publicar un comentario