Una simple vulnerabilidad en un sitio web podría provocar que millones de coches sean pirateados y rastreados
En enero de 2023, anunciaron los resultados preliminares de una vulnerabilidad cibernética masiva que afectaba a Kia, Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Hyundai, Genesis, BMW, Rolls-Royce y Ferrari. Las vulnerabilidades han sido informadas a estos fabricantes de automóviles. Para al menos media docena de empresas, las vulnerabilidades de red descubiertas por el grupo proporcionaron al menos cierto nivel de control sobre la funcionalidad de los automóviles conectados, como su reciente ataque a Kia, escribieron. Otras vulnerabilidades permitieron el acceso no autorizado a datos o aplicaciones internas de la empresa, dijeron. Creen que también hay vulnerabilidades dirigidas al software de gestión de flotas para vehículos de emergencia que podrían incluso impedir que esos vehículos arranquen, aunque no tienen los medios para probar de forma segura este truco potencialmente peligroso.
Curry dijo que en junio de este año descubrió que el portal de Toyota todavía parecía tener una vulnerabilidad similar, junto con las credenciales filtradas de los concesionarios que encontró en línea, que podían controlar de forma remota el seguimiento, el desbloqueo y la bocina de los vehículos Toyota y Lexus y las funciones de encendido. . Informó de la vulnerabilidad a Toyota y le mostró a Wired un correo electrónico de confirmación que parecía indicar que podía recuperar el control de las funciones conectadas del Toyota objetivo a través de la red. Sin embargo, Curry no tomó un video de la técnica de piratería de Toyota antes de informarla a Toyota, y la compañía rápidamente parchó la vulnerabilidad que reveló, incluso desconectando temporalmente su portal para evitar que fuera explotado.
«Después de la investigación, Toyota deshabilitó rápidamente las credenciales comprometidas y aceleró las mejoras de seguridad en el portal mientras lo deshabilitaba temporalmente», escribió un portavoz de Toyota a Wired en junio hasta que se complete el trabajo de mejora.
Más funciones inteligentes, más errores estúpidos
Stefan Savage, profesor de informática de la Universidad de California en San Diego, dijo que la gran cantidad de vulnerabilidades en los sitios web de los fabricantes de automóviles que permiten el control remoto de vehículos es el resultado directo de que las empresas utilizan las capacidades de los teléfonos inteligentes para atraer consumidores, especialmente los más jóvenes. En 2010, su equipo de investigación fue el primero en hackear la dirección y los frenos de un coche a través de Internet. «Una vez que vinculas esas capacidades del usuario al teléfono, a esta cosa conectada a la nube, creas todas estas superficies de ataque de las que antes no tenías que preocuparte», dijo Savage.
Aún así, dijo, incluso a él le sorprendió la inseguridad de todo el código basado en red que gestiona estas funciones. «Es un poco decepcionante que se explote tan fácilmente», dijo.
Rivera dijo que fue testigo de primera mano durante el tiempo que trabajó en ciberseguridad automotriz de que las empresas automotrices tienden a centrarse más en dispositivos «integrados» (componentes digitales en entornos informáticos no tradicionales como los automóviles) que en la ciberseguridad, en parte debido a la actualización de estos dispositivos integrados que puede ser más difícil y resultará en retiros del mercado. “Desde que comencé a trabajar, ha quedado claro que existe una clara brecha entre la seguridad integrada y la ciberseguridad en la industria automotriz”, dijo Rivera. «A menudo se mezclan estas dos cosas, pero la gente sólo tiene experiencia con una o con la otra».
Savage, de UC San Diego, espera que el trabajo de los investigadores del hackeo de Kia pueda ayudar a cambiar ese enfoque. Dijo que muchos de los primeros experimentos de piratería de alto perfil que afectaron a los sistemas integrados de automóviles, como el incidente de robo de Jeep en 2015 y el hackeo de Impala en 2010 realizado por el equipo de Savage en UC San Diego, convencieron a los fabricantes de automóviles de que necesitaban priorizar mejor la ciberseguridad integrada. Ahora, dijo, las empresas automotrices también deben centrarse en la ciberseguridad, incluso si eso significa hacer sacrificios o cambiar sus procesos.
«¿Cómo se decide: 'Debido a que no verificamos el código de red, no lo enviaremos durante seis meses'? Eso es difícil de aceptar», dijo. «Creo que este tipo de incidente hará que la gente reflexione más sobre la decisión».