Se podría abusar de multiples errores que afectan a millones de vehiculos de 16 fabricantes diferentes para desbloquear, arrancar y rastrear automoviles, ademas de afectar la privacidad de los propietarios de automoviles.
Las vulnerabilidades de seguridad se encontraron en las API automotrices de Acura, BMW, Ferrari, Ford, Genesis, Honda, Hyundai, Infiniti, Jaguar, Kia, Land Rover, Mercedes-Benz, Nissan, Porsche, Rolls Royce, Toyota, asi como en el software. de Reviver, SiriusXM y Spireon.
Las fallas abarcan una amplia gama, desde las que dan acceso a los sistemas internos de la empresa y la informacion del usuario hasta las debilidades que permitirian a un atacante enviar comandos de forma remota para lograr la ejecucion del codigo.
La investigacion se basa en hallazgos anteriores de fines del año pasado, cuando el investigador de Yuga Labs, Sam Curry y otros , detallaron fallas de seguridad en un servicio de vehiculos conectados proporcionado por SiriusXM que podria poner a los automoviles en riesgo de sufrir ataques remotos.
El mas grave de los problemas, que concierne a la solucion telematica de Spireon, podria haberse aprovechado para obtener acceso administrativo completo, lo que permitiria a un adversario emitir comandos arbitrarios a unos 15,5 millones de vehículos, asi como actualizar el firmware del dispositivo.
“Esto nos habria permitido rastrear y apagar los motores de arranque de la policia, las ambulancias y los vehiculos de las fuerzas del orden de varias grandes ciudades y enviar comandos a esos vehiculos”, dijeron los investigadores.
Las vulnerabilidades identificadas en Mercedes-Benz podrian otorgar acceso a aplicaciones internas a traves de un esquema de autenticacion de inicio de sesión unico (SSO) configurado incorrectamente, mientras que otras podrian permitir la toma de posesion de la cuenta del usuario y la divulgacion de informacion confidencial.
Otras fallas hacen posible acceder o modificar registros de clientes, portales internos de distribuidores, rastrear ubicaciones GPS de vehiculos en tiempo real, administrar los datos de matriculas para todos los clientes de Reviver e incluso actualizar el estado del vehoculo como “robado”.
Si bien todas las vulnerabilidades de seguridad han sido reparadas desde entonces por los respectivos fabricantes luego de la divulgación responsable, los hallazgos resaltan la necesidad de una estrategia de defensa en profundidad para contener las amenazas y mitigar el riesgo.
“Si un atacante pudiera encontrar vulnerabilidades en los puntos finales de la API que usaban los sistemas telematicos de los vehiculos, podria tocar la bocina, encender las luces, rastrear, bloquear/desbloquear y arrancar/detener vehiculos de forma remota, de forma completamente remota”, señalaron los investigadores.
“La interconexion de nuestros dispositivos hace que la seguridad de los automoviles sea mas desafiante, como lo demuestra el aumento de los ataques ciberneticos en automoviles en un 225 % en los ultimos tres años, con el 84,5 % de estos ataques ejecutados de forma remota”, Sandeep Singh, gerente senior de servicios tecnicos en HackerOne, dijo en un comunicado, explicando el aumento en los hackeos automotrices y la necesidad de colaborar con la comunidad de hackers eticos.
“A medida que la tecnologia de los automoviles se vuelve mas avanzada, tambien lo hace la complejidad de sus sistemas de software inteligentes”, agrego Singh. “Identificar las vulnerabilidades de la cadena de suministro de software causadas por funciones ‘inteligentes’ requiere un conocimiento profundo de los sistemas de software y hardware y una comprension de los protocolos personalizados que son específicos para los vehiculos conectados y los sistemas automotrices”.
FUENTE: THN