“FIC2018”

Las amenazas a los coches conectados son una realidad. Hace unos años se trataba de teorías, vídeos publicados en Internet mostrando posibles ataques… pero ya sabemos que no es ciencia ficción. Sin ir más lejos, hace unos días salía a la luz cómo un ladrón era capaz de robar un coche tan solo con un portátil. Ahora, se han descubiertos dos vulnerabilidades sin solucionar en el servicio online de BMW ConnectedDrive y la web oficial de BMW que podrían suponer un problema de seguridad.

Investigadores de Vulnerability-Labs, han dado con dos vulnerabilidades de día cero (zero-day), lo que implica que siguen sin parchear, y cualquier persona se podría aprovechar de ellas.

La primera vulnerabilidad está relacionada con el VIN (Vehicle Identification Number – Número de Identificación del Vehículo), un código único que se usa para identificar los vehículos conectados al servicio. Este código se encuentra en la aplicación web del servicio online ConnectedDrive. Este servicio es un sistema de entretenimiento del coche, con diferentes funciones y aplicaciones que proveen a los ocupantes del coche de información y entretenimiento durante el viaje. También permite crear un perfil del conductor, recibir y responder correos electrónicos, gestionar los dispositivos inteligentes conectados del hogar (Smart Home devices), regular el sistema de luces y alarmas y obtener datos del tráfico en tiempo real. En fin, prácticamente un control total sobre el sistema del automóvil.

Este fallo encontrado en el gestor de sesiones de códigos VIN, podría ser usado por atacantes para saltarse las medidas de seguridad de validación de los códigos de forma remota, como explica The Hacker News, y de esta forma manipular los números VIN, configuraciones, ajustes del coche…

44054c78-2771-092b

El segundo fallo es una vulnerabilidad XSS (cross-site scripting), un agujero de seguridad de las aplicaciones web que puede permitir a terceros inyectar código. Un vector de ataque que puede ser usado para robar datos, secuestrar sesiones, o comprometer el navegador. Para aprovecharse de esta vulnerabilidad el atacante no necesita acceder a la aplicación web con privilegios, con un nivel bajo pueden inyectar código malicioso en el módulo vulnerable. Si lo consiguen, podrían usarlo para realizar ataques de phishing, redirigir a los usuarios a fuentes maliciosas, o manipular los módulos conectados.

Estas vulnerabilidades están reflejadas en un reciente estudio publicado por la firma de seguridad S2 Grupo. En él alertan de que, entre otros, las webs que proporcionaban servicios a los coches conectados podrían ser vectores de ataque usados por los cibercriminales. El problema de base en el caso de los sistemas de los coches no se han diseñado desde el principio pensando en su seguridad, pero no debería aplicarse también a los servicios online que rodean a los automóviles inteligentes.

El laboratorio que encontró las vulnerabilidades explica que reportó los problemas encontrados al fabricante en febrero. La marca les respondió dos meses más tarde, pero al parecer los fallos siguen sin estar parcheados.

new-bmw-connecteddrive-25

About Author

Monica Valle

Periodista especializada en tecnología y ciberseguridad. Presentadora del programa sobre seguridad informática y tecnología Mundo Hacker.
@monivalle

Deja un comentario