Cada vez es más frecuente que los automóviles estén parcial o totalmente conectados a internet. Esta conectividad incluye no solo sistemas de información y navegación, sino también aplicaciones críticas para vehículos, como el cierre de puertas o el sistema de arranque, a los que ahora ya es posible acceder online. Pero, tal y como hemos visto en varias ocasiones, esta conectividad conlleva riesgos. Las amenazas a los coches conectados son una realidad. Hace unos años se trataba de teorías, vídeos publicados en Internet mostrando posibles ataques… pero ya sabemos que no es ciencia ficción.
Y es que, si bien es cierto que con la ayuda de apps móviles especializadas podemos obtener las coordenadas de localización del vehículo, así como la ruta a seguir, abrir las puertas, encender el motor y controlar una variedad de funciones adicionales, es necesario que los fabricantes trabajen para asegurar todas estas aplicaciones frente al riesgo de ser víctimas de los ciberataques.
Ya que las webs que proporcionaban servicios a los coches conectados podrían ser vectores de ataque usados por los cibercriminales. El problema de base en el caso de los sistemas de los coches no se han diseñado desde el principio pensando en su seguridad, pero no debería aplicarse también a los servicios online que rodean a los automóviles inteligentes. En cada caso, el vector de ataque necesitará de cierta preparación adicional, como atraer a los propietarios de los vehículos para que instalen aplicaciones maliciosas, que se instalaran en el dispositivo y accederán a la aplicación del vehículo.

Con el objetivo de conocer el estado de seguridad en el que se encuentran las aplicaciones ligadas a los vehículos conectados, los analistas de Kaspersky Lab han analizado siete de las aplicaciones de control remoto de automóviles desarrolladas por los principales fabricantes y que, de acuerdo con las estadísticas de Google Play, cuentan con decenas de miles de descargas, llegando en algunos casos a sobrepasar los cinco millones. El estudio ha encontrado importantes problemas de seguridad en las aplicaciones analizadas: 
  • No hay protección contra la ingeniería inversa de la aplicación. Como resultado, los ciberdelincuentes pueden buscar vulnerabilidades que les den acceso a la infraestructura del servidor o al sistema multimedia del coche.
  • No hay comprobación de la integridad del código. Esto permite a los ciberdelincuentes introducir su propio código en la aplicación, añadir funciones maliciosas y reemplazar el programa original por uno falso en el dispositivo del usuario.
  • No hay técnicas de detección de rooteo. Los privilegios root dan un sinfín de posibilidades a los troyanos y dejan a la aplicación indefensa.
  • Falta de protección contra técnicas de superposición. Esto permite a las aplicaciones maliciosas mostrar ventanas phishing y hacerse con las credenciales de los usuarios.
  • Almacenamiento de datos de acceso en texto plano. Esta técnica poco segura permite a los delincuentes robar los datos del usuario de forma relativamente fácil.

 

Tras el análisis, los expertos de Kaspersky Lab concluyen que “en la situación actual, las aplicaciones para coches conectados siguen sin estar preparadas para resistir ataques de malware”. Ya que, cuando hablamos de seguridad en un coche conectado, “no sólo debemos tener en cuenta la infraestructura de servidor”.

Por suerte, “aún no hemos detectado ningún caso real de ataques contra las aplicaciones automovilísticas, lo que quiere decir que los fabricantes de coches aún tienen tiempo de hacer las cosas bien. No sabemos cuánto tiempo pasará, pues los troyanos modernos son muy flexibles, un día pueden actuar como adware normal y al día siguiente pueden descargar una configuración nueva que hará posible atacar nuevas aplicaciones. Las posibilidades de ataque son muchas”, afirma Víctor Chebyshev, experto de seguridad de Kaspersky Lab.

About Author

Desiree Rodriguez

Responsable Globb Security España y Francia @Drodriguezleal

Deja un comentario