8 de febrero de 2015

BMW. Actualiza el software de 2 millones de automóviles por una vulnerabilidad

BMW ha confirmado que ha tenido que actualizar el software de 2,2 millones de coches de las marcas BMW, Mini y Rolls Royce debido a una vulnerabilidad que podía facilitar a un atacante la apertura del automóvil.
El problema fue anunciado por la asociación de automovilistas alemanes ADAC y afectaba a los coches equipados con el software ConnectedDrive con tarjeta SIM. Este sistema permite controlar el vehículo a través del Smartphone. Desde un iPhone o Android, se puede entre otras funciones cerrar y abrir el coche, hacer que las luces parpadeen, que suene el claxon o encender la calefacción de forma remota.
BMW ha confirmado que el fallo de seguridad se daba en la transmisión de datos entre el teléfono móvil y el coche, añadiendo que no afectó a funciones críticas de conducción, arranque, dirección o frenado Tampoco se tiene conocimiento de que el problema haya sido empleado para comprometer la seguridad de ningún vehículo.
La misma función de conectividad del software del automóvil, ha permitido a BMW actualizar de forma automática todos los sistemas afectados sin necesidad de pasar por el taller.
No se tienen muchos datos concretos sobre la vulnerabilidad, pero la firma alemana dice haber eliminado los posibles problemas mediante el cifrado de las comunicaciones en el interior del coche empleando el protocolo https. ¿Esto quiere decir que anteriormente las comunicaciones no iban cifradas?¿Se puede hacer un ataque hombre en el medio contra el coche?.
Cada vez los coches disponen de más sistemas informáticos, y ya muchos disponen hasta de conexión a Internet. Esto expone al software del automóvil a los mismos riesgos que cualquier otro sistema conectado a la Red. No es la primera vez que se encuentran problemas que pueden permitir a un atacante tomar el control del software de un automóvil. Los fabricantes de automóviles deben tomar conciencia de la importancia que representa la seguridad del software del vehículo y no cometer los mismos fallos que la industria del software lleva años pagando.
Más información:
Fuente: Hispasec