lunes, 9 de enero de 2023

Múltiples vulnerabilidades en grandes y conocidas marcas de coches

 Sam Curry, han encontrado graves vulnerabilidades en vehículos de 20 marcas de coches muy conocidas. Sam Curry ha publicado en su blog los graves bugs de seguridad que han encontrado en los coches de más de 20 marcas, incluyendo BMW, Roll Royce, Mercedes-Benz, Ferrari, Porsche, Jaguar, Land Rover, Ford, KIA, Honda, Infiniti, Nissan, Acura, Hyundai, Toyota, y Genesis.


 

 

Según una investigación de Sam Curry (aka Samwcyo) se podría abusar de múltiples errores que afectan a millones de vehículos de 16 fabricantes diferentes para desbloquear, arrancar y rastrear automóviles, además de afectar la privacidad de los propietarios de automóviles.

Las vulnerabilidades de seguridad se encontraron en las API  de: 

  • Acura
  • BMW
  • Ferrari
  • Ford
  • Genesis
  • Honda
  • Hyundai
  • Infiniti
  • Jaguar
  • Kia
  • Land Rover
  • Mercedes-Benz
  • Nissan
  • Porsche
  • Rolls Royce
  • Reviver
  • SiriusXM
  • Spireon
  • Toyota

 

 Investigadores han descubierto que los atacantes podían tener acceso a la información de concesionarios de BMW y obtener cuentas de empleados de la compañía. Además, hubo una brecha de seguridad en la web de Ferrari, donde pudieron acceder con privilegios administrativos y eran capaces de borrar toda la información de los clientes. Para más inri, descubrieron que todas las matrículas digitales de California eran vulnerables a los ataques. Todo esto ocurre, después de que el propio estado legalizara las matrículas digitales el año pasado.

Descubrieron graves vulnerabilidades que afectaban a un total de 16 marcas de automóviles. Debido a estas vulnerabilidades, los atacantes eran capaz de rastrear, controlar y robar coches de marcas como Acura, Honda, Infiniti y Nissan utilizando únicamente el número de identificación de los automóviles. Junto a estos, tenemos modelos de Kia, Hyundai y Genesis que están expuestos a problemas similares. Otras vulnerabilidades afectaron a BMW, Mercedes Benz y Rolls Royce, donde los hackers podían aprovechar los inicios de sesión mal configurados.

Los graves fallos de seguridad de los coches

BMW y Mercedes-Benz son los fabricantes con las vulnerabilidades más graves

En el caso de Mercedes-Benz, los investigadores pudieron acceder a instancias privadas de GitHub, canales de chat internos, sistemas XENTRY que se conectan a los coches de los clientes, y mucho más.

Con BMW, entraron en los portales internos de los concesionarios, los números de bastidor de cualquier coche, y documentos de venta con datos confidenciales de los propietarios.

Además podían iniciar sesión como empleado o dueño de concesionario, y acceder a sus zonas privadas.

Con la mayoría de las marcas citadas accedieron a los nombres y direcciones de los compradores de los coches. En el caso de Ferrari, podían borrar, crear o modificar cuentas de clientes, e incluso cambiar el dueño a un coche, asignándolo a otra cuenta. También han podido abrir las puertas, y arrancar los coches de diferentes marcas.

En marcas como Porsche, era posible hackear el GPS para rastrear rutas y posición en tiempo real.

La actualización de estas vulnerabilidades resulta que afecta también a otro tipo de vehículos, pudiendo así rastrear, controlar o realizar el robo de vehículos de emergencia o policiales. Según parece, esta vez han usado la empresa que controla el GPS y telemática de estos vehículos a su favor. Resulta que Spireon Systems controla más de 15 millones de dispositivos y la mayoría de ellos son coches. Sabiendo que el sitio web está anticuado, los hackers podían entrar en él con una cuenta de administrador.

Habiendo hecho esta prueba, se pudo confirmar que era posible rastrear y controlar a distancia flotas de vehículos policiales, ambulancias o vehículos de empresa. Entre las acciones que podían realizar los atacantes se incluye el desbloqueo de coches, arranque de motores y hasta distribuir malware con actualizaciones de firmware. Ahora bien, buscando más información al respecto, desde BleepingComputer aseguran que avisaron con 90 días de antelación a las compañías de los vehículos afectados. Gracias a esto, todas las compañías afectadas han tenido tiempo para corregir las vulnerabilidades de sus coches y no hay peligro a día de hoy.

Fuentes:

https://samcurry.net/web-hackers-vs-the-auto-industry/ 

https://computerhoy.com/motor/marcas-coches-vulnerabilidades-abrirlos-rastrearlos-cambiar-dueno-1179912

https://elchapuzasinformatico.com/2023/01/vulnerabilidad-coches-robo-control/

1 comentario:

  1. ¿Y de verdad lo habrán corregido ya en todas esas marcas? Nunca lo sabremos.

    ResponderEliminar