Ícono del sitio TechGames

¿Son seguros los coches conectados a Internet?

Auto-conectado-seguridad
Comparte

Gracias a una prueba de concepto realizada por IAB Spain y Kaspersky Lab, podemos conocer las debilidades que tienen los autos del futuro. El uso de una aplicación para smartphones podría traer problemas a los usuarios.

El Primer Estudio de Coches Conectados se logró gracias a Vicente Díaz, Analista Senior de Malware de Kaspersky Lab, quien ha sido el responsable de analizar, a través de una prueba de concepto, la seguridad de estos coches conectados a Internet.

La privacidad, las actualizaciones y las apps de los smartphones para estos carros pueden ser los tres focos de ataque en los que se pueden centrar los cibercriminales para realizar sus ataques con éxito. “Los coches conectados abren la puerta a amenazas que ya existían en el mundo del PC y de los smartphones, pero adaptadas a este nuevo medio. Además, la problemática de la privacidad de datos también llega al segmento del automóvil con gigantes como Google, que ya han colonizado algunos de los modelos del informe con su tecnología de búsquedas. Los riesgos que pueden sufrir los usuarios de estos coches conectados van desde el robo de contraseñas, apertura de puertas, acceso a servicios remoto, localización del coche e incluso el control físico del vehículo.” Vicente Díaz, Analista Senior de Malware de Kaspersky Lab.

La prueba de concepto realizada por Kaspersky Lab, basada en el análisis del sistema BMW ConnectedDrive en concreto, ha encontrado distintos vectores de ataque potenciales:
 
–       Robo de credenciales: El robo de credenciales de usuario para acceso al portal de BMW, ya sea mediante phishing, keyloggers o ingeniería social, permitiría a un tercero acceder a información del usuario y del vehículo. A partir de aquí se podría instalar la aplicación para móvil con estas mismas credenciales que, en caso de tener activados los servicios remotos, podría permitir activar la apertura de puertas por ejemplo.
 
–       Aplicación móvil: En caso de tener los servicios de apertura remota activados el móvil se convierte en las llaves. Si la aplicación no está bien asegurada, podría ser un vector de ataque en caso de robo del teléfono. En este caso, parece que es posible modificar la base de datos de la aplicación para evitar la autenticación PIN, por lo que un atacante podría evitarla y activar los servicios remotos.
 
–       Actualizaciones. El proceso de actualización de los drivers bluetooth es a partir de la descarga de un archivo desde la web de BMW que posteriormente instalaremos en el carro mediante un USB. Este archivo no está cifrado ni firmado, y es posible encontrar dentro del mismo mucha información interna del sistema que se ejecuta en el vehículo. Esto daría a un atacante potencial con acceso físico la posibilidad de conocer el entorno atacado. También parece que podría modificarse la actualización para ejecutar código malicioso.
 
–       Comunicaciones: Algunas funciones se comunican con la SIM interna del vehículo mediante mensajes SMS. Estos mensajes se pueden llegar a descifrar y enviar haciéndose pasar por otro remitente, en función del cifrado de la operadora. En el peor de los casos se podría reemplazar a BMW para la comunicación de ciertos servicios.
 
El estudio también incluye un análisis de la conectividad online y las apps de los principales fabricantes de automóviles en España. Asimismo, se desglosa el modelo de negocio y las futuras tendencias en cuanto a plataformas de conectividad en el mercado. Las principales concusiones, tras analizar 21 modelos de vehículos distintos, las principales conclusiones del informe:  
 
Alta fragmentación: de sistemas operativos, modos de conexión y apps.
Servicios gratuitos durante un tiempo limitado: muchos fabricantes ofrecen una suscripción gratuita durante un tiempo determinado.
El problema de la cobertura: muchos de los servicios online necesitan de cobertura 3G para funcionar con normalidad.
Consumo de datos: este consumo puede obligar al usuario a contratar una tarifa adicional.
Asistentes vocales: la mayoría de los modelos  la usan ya que es una de las maneras más seguras de controlar la oferta de conectividad que ofrecen los fabricantes.

Comparte
Salir de la versión móvil