Los investigadores de seguridad de PenTestPartners dio a conocer detalles de una vulnerabilidad considerada peligrosa para los propietarios del vehículo eléctrico híbrido (PHEV) Mitsubishi Outlander que ha registrado altas ventas. Esta brecha de seguridad, que se explicó en el boletín de seguridad fechado el lunes 5 de junio, afecta al modelo SUV de la compañía japonesa, que le permite a los atacantes explotar la conectividad del auto y utilizarla para su propio beneficio – como desactivar el sistema de alarma del auto y comprometer al vehículo en su totalidad.
Esta falla de la seguridad involucra el módulo Wi-Fi del vehículo que le permite a los atacantes tener acceso no sólo a los sistemas de alarma del auto sino también a sus configuraciones. También esto le da a los atacantes o a una fuerza externa, la capacidad de descargar la batería del vehículo.
Así, los investigadores que hicieron el descubrimiento explicaron, “Lo que es realmente inusual es el método que se utiliza para conectar la aplicación móvil con el auto. La mayoría de las aplicaciones de control remoto para localizar el vehículo, encender los faros, cerrarlo remotamente, etcétera, funcionan usando un servicio web, el cual es proporcionado por el fabricante o por su proveedor de servicios. Éste se conecta el vehículo usando GSM a un módulo instalado dentro del auto. Como resultado, uno puede comunicarse con el vehículo a través de datos móviles desde virtualmente cualquier lugar”.
En el caso del Outlander PHEV, en lugar de un módulo GSM que se utiliza comúnmente, el vehículo activa la conectividad a través de la conexión Wi-Fi. El estudio realizado demostró que dicho módulo “no se ha implementado de manera segura” con su clave proporcionada previamente que se puede deducir fácilmente. Además de esto, el nombre de la red Wi-Fi del Outlander es “distintivo”. Esto significa que un atacante que tiene intenciones maliciosas pueda rastrear fácilmente el auto de su agrado. Una vez que un criminal logra abrir y penetrar al sistema, se abren las puertas a muchos ataques potenciales – desde controlar las luces, la temperatura e incluso sus funciones para cerrar/abrir el vehículo.
En una declaración hecha a ZDnet, los investigadores señalaron que la compañía ha sido informada debidamente de la vulnerabilidad. Esto exigió una respuesta “desinteresada” del gigante automotriz. Resulta interesante que después de que se informara a los medios, los ejecutivos de Mitsubishi reaccionaron de manera distinta. Al parecer, ya se prepara una solución.
De acuerdo con Mitsubishi, ningún evento similar a este se ha reportado en otras partes del mundo. Ya que se calcula que se han vendido más de 100,000 autos híbridos, la compañía dijo que ha estado tomando muy en serio este problema, y que está trabajando muy de cerca con los investigadores y las autoridades para evitar el posible daño que haya provocado esta falla de seguridad. Por ahora, al tiempo que se llevan a cabo las investigaciones, la compañía urgió a los propietarios a deshabilitar su conexión WiFi a bordo en la aplicación mediante la cancelación del registro VIN.
En marzo, las autoridades hicieron un anuncio de servicio público en el que advertían oportunamente al público sobre el surgimiento continuo de explotaciones remotas que hace a los vehículos motores vulnerables. Por su parte, el boletín del FBI decía, “El FBI y NHTSA están advirtiendo al público general y a los fabricantes – de los vehículos, componentes y dispositivos de postventa – de estar al pendiente de los problemas potenciales y las amenazas a la seguridad cibernética relacionados con las tecnologías de vehículos conectados de los vehículos modernos”.
Mitsubishi ahora es parte de la creciente línea de autos inteligentes que se han descubierto son vulnerables a los errores de seguridad. En febrero de 2016, Troy Hunt y Scott Helme descubrieron que la aplicación para autos Leaf de Nissan puede utilizarse para violar remotamente los sistemas integrados a los sistemas del auto eléctrico Nissan Leaf. Anteriormente, en el mismo mes, un investigador de San Diego, Calif., compartió cómo una falla crítica descubierta en el sistema operativo del auto inteligente permitía que fuera secuestrado con sólo reproducir un disco compacto para descargar malware. En 2015, los expertos en seguridad Chris Valasek y Charlie Miller simularon el secuestro de un auto usando la conectividad 3G de un nuevo Jeep Cherokee que provocó que se retiraran 1.4 millones de vehículos. Después del experimento, los investigadores señalaron que una explotación podría tomar el control de los frenos del vehículo, entre otros sistemas.
Rainer Link, el investigador de amenazas, en su video explicativo, habla de la seguridad de los autos inteligentes y del papel que desempeñan los fabricantes para aprovechar la seguridad de esta tecnología emergente. “Los fabricantes pueden tener amplio conocimiento sobre cómo construir autos pero carecen del conocimiento para asegurar los sistemas de éstos porque es algo nuevo para ellos”.
Leave a Reply