Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1058
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
enero
(Total:
45
)
- Operación policial internacional desmantela el gru...
- Twitter España despide al 80% de su plantilla: se ...
- Un instituto de Massachusetts lleva año y medio co...
- El FBI confirma que el grupo Lazarus de Corea del ...
- WhatsApp multada con 5,5 millones de euros por vio...
- Microsoft Authenticator: ¿Qué es y cómo funciona?
- Anuncios con malware en resultados de búsqueda de ...
- Herramientas para el análisis de malware en Android
- PayPal reconoce una brecha que ha afectado a 35.00...
- Android TV Box comprado en Amazon venía precargado...
- Google prepara un chatbot de búsqueda para competi...
- Samsung Display muestra un nuevo prototipo de pant...
- Paquetes maliciosos PyPi ‘Lolip0p’ instalan malwar...
- ¿Qué potencia de fuente de alimentación necesito s...
- La IA generativa recibe su primera demanda por inf...
- Musk se enfrenta al juicio por fraude bursátil por...
- Si trabajas con pantallas y usas gafas o lentillas...
- Organismo de control Estados Unidos consiguió crac...
- Se cumplen diez años de la muerte por inducción al...
- Un error informático paraliza los vuelos comercial...
- Disponible Paint.NET 5.0
- Bielorrusia legaliza la piratería de películas, mú...
- Microsoft quiere invertir 9.300 millones en OpenAI...
- Microsoft presenta VALL-E, una IA capaz de imitar ...
- 'Supercookies' imbloqueables: Telefónica, Vodafone...
- Valetudo es un firmware para evitar que robo aspir...
- El chat de salud de Google resuelve dudas de pacie...
- Wikipedia sufre un nuevo ataque de censura por par...
- Múltiples vulnerabilidades en grandes y conocidas ...
- Silk Road, el primer mercado de la Dark Web
- PiKVM V4: proyecto basado en una Raspberry Pi 4, s...
- Windows Sandbox - "Espacio Aislado"
- Sistemas operativos alternativos a Android e iOS
- El diario The Guardian sigue teletrabajando un mes...
- Facebook e Instagram multadas con 390 millones eur...
- Detenidos cerca de Barcelona estafadores bancarios...
- Evadiendo protecciones de un antivirus
- Un dispositivo militar con datos biométricos de mi...
- Microsoft quiere integrar ChatGPT en buscador Bing
- Acelerar el arranque de inicio de Windows
- Vulnerabilidad en los altavoces de Google Home per...
- One Laptop per Child (OLPC)
- Grupo de ransomware LockBit pide disculpas por ata...
- Descargar una copia de todos los correos y adjunto...
- Google pagará 9,5 millones por rastrear la ubicaci...
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un fallo de diseño en el mecanismo de registro del servidor VPN de Fortinet puede aprovecharse para ocultar la verificación exitosa de cre...
-
Trinity asegura haber robado 560 GB de datos de la Agencia Tributaria (AEAT) española, así como haber secuestrado parte de sus sistemas, ci...
Múltiples vulnerabilidades en grandes y conocidas marcas de coches
Sam Curry, han encontrado graves vulnerabilidades en vehículos de 20 marcas de coches muy conocidas. Sam Curry ha publicado en su blog los graves bugs de seguridad que han encontrado en los coches de más de 20 marcas, incluyendo BMW, Roll Royce, Mercedes-Benz, Ferrari, Porsche, Jaguar, Land Rover, Ford, KIA, Honda, Infiniti, Nissan, Acura, Hyundai, Toyota, y Genesis.
Según una investigación de Sam Curry (aka Samwcyo) se podría abusar de múltiples errores que afectan a millones de vehículos de 16 fabricantes diferentes para desbloquear, arrancar y rastrear automóviles, además de afectar la privacidad de los propietarios de automóviles.
Las vulnerabilidades de seguridad se encontraron en las API de:
- Acura
- BMW
- Ferrari
- Ford
- Genesis
- Honda
- Hyundai
- Infiniti
- Jaguar
- Kia
- Land Rover
- Mercedes-Benz
- Nissan
- Porsche
- Rolls Royce
- Reviver
- SiriusXM
- Spireon
- Toyota
Investigadores han descubierto que los atacantes podían tener acceso a la información de concesionarios de BMW y obtener cuentas de empleados de la compañía. Además, hubo una brecha de seguridad en la web de Ferrari, donde pudieron acceder con privilegios administrativos y eran capaces de borrar toda la información de los clientes. Para más inri, descubrieron que todas las matrículas digitales de California eran vulnerables a los ataques. Todo esto ocurre, después de que el propio estado legalizara las matrículas digitales el año pasado.
Descubrieron graves vulnerabilidades que afectaban a un total de 16 marcas de automóviles. Debido a estas vulnerabilidades, los atacantes eran capaz de rastrear, controlar y robar coches de marcas como Acura, Honda, Infiniti y Nissan utilizando únicamente el número de identificación de los automóviles. Junto a estos, tenemos modelos de Kia, Hyundai y Genesis que están expuestos a problemas similares. Otras vulnerabilidades afectaron a BMW, Mercedes Benz y Rolls Royce, donde los hackers podían aprovechar los inicios de sesión mal configurados.
Los graves fallos de seguridad de los coches
BMW y Mercedes-Benz son los fabricantes con las vulnerabilidades más graves
En el caso de Mercedes-Benz, los investigadores pudieron acceder a instancias privadas de GitHub, canales de chat internos, sistemas XENTRY que se conectan a los coches de los clientes, y mucho más.
Con BMW, entraron en los portales internos de los concesionarios, los números de bastidor de cualquier coche, y documentos de venta con datos confidenciales de los propietarios.
Además podían iniciar sesión como empleado o dueño de concesionario, y acceder a sus zonas privadas.
Con la mayoría de las marcas citadas accedieron a los nombres y direcciones de los compradores de los coches. En el caso de Ferrari, podían borrar, crear o modificar cuentas de clientes, e incluso cambiar el dueño a un coche, asignándolo a otra cuenta. También han podido abrir las puertas, y arrancar los coches de diferentes marcas.
En marcas como Porsche, era posible hackear el GPS para rastrear rutas y posición en tiempo real.
La actualización de estas vulnerabilidades resulta que afecta también a otro tipo de vehículos, pudiendo así rastrear, controlar o realizar el robo de vehículos de emergencia o policiales. Según parece, esta vez han usado la empresa que controla el GPS y telemática de estos vehículos a su favor. Resulta que Spireon Systems controla más de 15 millones de dispositivos y la mayoría de ellos son coches. Sabiendo que el sitio web está anticuado, los hackers podían entrar en él con una cuenta de administrador.
Habiendo hecho esta prueba, se pudo confirmar que era posible rastrear y controlar a distancia flotas de vehículos policiales, ambulancias o vehículos de empresa. Entre las acciones que podían realizar los atacantes se incluye el desbloqueo de coches, arranque de motores y hasta distribuir malware con actualizaciones de firmware. Ahora bien, buscando más información al respecto, desde BleepingComputer aseguran que avisaron con 90 días de antelación a las compañías de los vehículos afectados. Gracias a esto, todas las compañías afectadas han tenido tiempo para corregir las vulnerabilidades de sus coches y no hay peligro a día de hoy.
Fuentes:
https://samcurry.net/web-hackers-vs-the-auto-industry/
https://elchapuzasinformatico.com/2023/01/vulnerabilidad-coches-robo-control/
1 comentarios :
¿Y de verdad lo habrán corregido ya en todas esas marcas? Nunca lo sabremos.
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.