En ADSLZone os hemos hablado varias veces sobre los futuros problemas de seguridad que plantean los coches inteligentes conectados, y en un futuro los coches autónomos. Como bien dice un mantra, todo es susceptible de ser hackeado, pues siempre va a haber algún fallo de seguridad. Este es el caso de la web de BMW que ha permitido a hackers, mediante dos fallos de seguridad, desbloquear incluso los coches.
Estos fallos de seguridad están localizados en la web de BMW, en el apartado de ConnectedDrive. Este servicio se puede utilizar en la web, en el mismo o coche, o también cuenta con una aplicación para móviles, pero las dos vulnerabilidades de tipo día cero, pues no han sido arregladas, se han encontrado en la versión web del mismo.
Estos fallos fueron notificados a BMW en febrero, pero todavía no los han arreglado. Por ello, Benjamin Kunz Mejry, un investigador de seguridad de Vulnerability Lab, ha hecho públicos los fallos con dos objetivos: meter prisa a BMW para que los arregle, y evitar que los usuarios utilicen el servicio hasta que las vulnerabilidades sean arregladas. Estos son particularmente peligrosos porque permiten tener control de la electrónica del coche. Casi todos los vehículos actuales tienen sistemas eléctricos para gestionar la dirección, frenos y acelerador, por lo que es importante que el coche sea lo más impenetrable posible.
Primer hack: Obtención del número VIN
El VIN es el Número de Identificación del Vehículo. Éstos están asociados a la cuenta de usuario del dueño, y se utilizaba para cambiar ajustes en el coche. Si se cambia un ajuste en la web, también se cambia en el coche. El exploit permite evitar la validación de seguridad del VIN, por lo que pueden acceder a la configuración directamente.
En esta configuración se puede bloquear y desbloquear el coche, cambiar la lista de canciones, acceder a cuentas de correo, acceder a las rutas y cambiarlas, obtener información del tráfico en tiempo real, etcétera.
Segunda vulnerabilidad: Bug XSS que permite inyectar código malicioso
Esta vulnerabilidad permite inyectar un script con código malicioso en un archivo llamado passwordResetOK.html, y el fallo se encuentra en la web en sí, la que es accesible por el cliente. Este fallo permite la modificación de cookies, que la web ejecute comandos maliciosos en una web de confianza, o ataques de phishing, entre otros.
El procedimiento en detalle por el que se realizan estas vulnerabilidades se encuentra en la web de Vulnerability Labs. Os los dejamos por si queréis echar un vistazo. Vulnerabilidad 1 y Vulnerabilidad 2
Quizá te interese…
El coche autónomo de Google reconoce las señales de los ciclistas para evitar accidentes
BMW e Intel se alían con el objetivo de crear un coche autónomo para 2021