Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1019
)
-
▼
noviembre
(Total:
67
)
- El Constitucional de España absuelve finalmente a ...
- Vulnerabilidad crítica de Laravel
- Nuevo ransomware Helldown
- Vulnerabilidad Crítica en Routers D-Link Fuera de ...
- Microsoft presenta Windows 365 Link, su Mini-PC pa...
- Aprovechan servidores Jupyter mal configurados par...
- Apple soluciona dos vulnerabilidades Zero-Days en ...
- Microsoft prepara un ordenador cuántico de uso com...
- IA logra operar sin intervención humana
- 12 aplicaciones de Android graban conversaciones s...
- Next SBC, el espectacular mini PC que te cabe en l...
- El chatbot Gemini de Google le responde a un usuar...
- Alemania y Finlandia denuncian el corte del cable ...
- Una vulnerabilidad en el complemento SSL de WordPr...
- EE.UU. quiere obligar a Google a vender Chrome por...
- ¿Qué significa PON, GPON, XG-PON, 10G-EPON…?
- Comandos de Docker básicos y avanzados
- Memorias DIMM vs UDIMM vs CUDIMM vs RDIMM vs SODIMM
- Microsoft confirma que está creando una IA con 100...
- AsusWRT 4.0 - 5.0 (Firmware 3.0.0.6)
- Qué es LLaMA, cómo funciona y cómo se puede probar...
- Qué placa base elegir: Guía de compras para Intel ...
- Las mejores distribuciones de Linux para usuarios ...
- Llega a España el malware ToxicPanda: un troyano b...
- Extraen datos de casi 500 millones de usuarios de ...
- La Guardia Civil desactiva Cristal Azul, el canal ...
- Google presenta dos funciones seguridad para Andro...
- OPNsense: un router y firewall gratuito
- El SSD más rápido del mundo con 60 TB con una velo...
- Guía de compra de todas las RaspBerry Pi
- Qué es una NPU, cómo funciona y por qué es importa...
- El peligro de los dominio .zip
- AMD despedirá al 4 % de su plantilla para centrars...
- Informe dark web de Google
- Apple Maps sin conexión: cómo descargar mapas y us...
- Hachazos y amputaciones por el Wifi: violenta trif...
- VMware Workstation y Fusion ahora son gratis
- Aprovechan el calor de la PS5 para mantener la piz...
- Guía compra AMD Ryzen 3, Ryzen 5, Ryzen 7 y Ryzen 9
- 50 cosas que puedes pedirle a Alexa y no conocías
- Mover archivos más rápido en Windows con "Enviar a"
- La Comisión Europea pide a Apple que elimine el ge...
- Grabar pantalla en macOS
- Apple presenta Share Item Location, la función par...
- Microsoft cambiará actualizaciones de Windows para...
- D-Link no solucionará una vulnerabilidad crítica q...
- Polvo cerámico mejora hasta un 72% el rendimiento ...
- Concatenación de ficheros comprimidos para infecta...
- Filtran datos de empleados de Amazon, McDonald's, ...
- El código IUA escrito en la roseta de fibra óptica...
- Fibra luminosa, descubierta por accidente, podría ...
- Canadá prohíbe el uso de TikTok
- Google tumbó la web de este matrimonio por hacerle...
- Visualizar con Grafana los eventos del IDS/IPS Sur...
- China está usando la IA de Meta para fines militares
- Multa de 85 millones a Telefónica en Estados Unido...
- Vulnerabilidad API de la web de Kia permitió a ata...
- Google revela el primer fallo de seguridad descubi...
- La IA llega a Paint y Notepad en Windows 11
- Alemania redacta una ley para proteger a los inves...
- Microsoft ralentizó el Panel de Control de Windows...
- Guías Equivalencias de procesadores Intel y AMD [G...
- Roban 15 mil credenciales en Git y hay 10 mil repo...
- Publican información del creador del infostealer "...
- Vulnerabilidad RCE en MS SharePoint explotada acti...
- Panel de Control Grafana para el WAF de Apache-Ngi...
- Cómo visualizar los registros de Apache/Nginx en m...
- ► septiembre (Total: 50 )
-
▼
noviembre
(Total:
67
)
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Vulnerabilidad API de la web de Kia permitió a atacantes localizar coches ajenos y encender sus motores a distancia
Un grave bug en el portal web de Kia permitió a un equipo de expertos en ciberseguridad controlar millones de vehículos de forma remota. La vulnerabilidad, localizada en la infraestructura web del fabricante surcoreano, posibilitó desbloquear, encender y rastrear vehículos... y para ellos les bastó con conocer un número de matrícula.
- La dependencia de funciones activadas por smartphones ha creado un nuevo nivel de vulnerabilidad en los automóviles
Así se aprovecharon los atacantes
El pasado junio, un equipo de investigadores descubrió que un simple error en la plataforma web de Kia permitía el acceso no autorizado a millones de vehículos modernos. Descrita por el investigador Neiko Rivera como una vulnerabilidad propia de una "seguridad web muy pobre", ésta dejaba expuestos diversos modelos de Kia vendidos en los EE.UU. a toda una serie de amenazas y podían desbloquear puertas, encender motores e incluso rastrear el paradero de los vehículos con solo introducir el número de matrícula en una aplicación personalizada que desarrollaron como prueba de concepto.
Dicha aplicación funcionaba utilizando comandos directos a la API de Kia, una interfaz de software que permite a los usuarios interactuar con las funciones del vehículo a través de Internet. En tan sólo unos segundos, podían localizar un coche, abrirlo y encenderlo.
Los investigadores también lograron extraer información personal del propietario del vehículo, como su nombre, número de teléfono, dirección de correo electrónico y dirección residencial. Esto hizo posible que los atacantes agregaran sus propios dispositivos como administradores de los vehículos sin el conocimiento del propietario.
Consecuencias de la vulnerabilidad
Aunque es cierto que este ciberataque no permitía a los atacantes controlar directamente la dirección o los frenos del automóvil, la posibilidad de desbloquear y encender el vehículo representa también un grave riesgo: según Sam Curry, miembro del equipo de investigación, este bug pudo facilitar robos o situaciones de acoso, además de exponer la privacidad de los usuarios. En el caso de modelos equipados con cámara de 360 grados, los atacantes podían incluso ver el entorno del vehículo.
Según la firma de seguridad Kaspersky,
"esta vulnerabilidad podría usarse fácilmente para rastrear a su titular, robar objetos de valor que quedan dentro del coche (o plantar algo allí) o alterar la vida de quien conduce con acciones inesperadas desde el coche".
El origen (y el alcance) de la vulnerabilidad
Los investigadores identificaron el problema en un error simple en el 'backend' de Kia. El portal de Kia permitía el acceso con privilegios administrativos sin verificar adecuadamente si el usuario en cuestión era un concesionario autorizado. Esto daba a cualquier persona la capacidad de controlar remotamente las funciones del vehículo. Además, encontraron una forma de convertir un número de matrícula en el número de identificación del vehículo (VIN), facilitando la explotación de la vulnerabilidad.
Además, esta vulnerabilidad no es exclusiva de Kia. Según el equipo de investigación, marcas como Honda, Hyundai, Toyota y BMW presentan problemas similares en sus sistemas web. Encontraron vulnerabilidades en más de una docena de fabricantes, revelando un patrón de deficiencias en la ciberseguridad web de la industria automotriz.
El investigador Rivera señaló que la industria automotriz se ha centrado más en la seguridad de los componentes integrados de los vehículos, como los frenos y el sistema de dirección, mientras que la seguridad web ha quedado en segundo plano. Con el creciente número de funciones conectadas a Internet en los automóviles, la 'superficie de ataque' se ha ampliado enormemente, poniendo en riesgo a los usuarios.
Stefan Savage, profesor de ciencias de la computación en UC San Diego, señala la razón última de este problema:
"¿Cómo se decide retrasar el lanzamiento de un vehículo seis meses porque el código web no está listo?".
Vía | Sam Curry
Fuentes
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.