Investigadores
holandeses han encontrado vulnerabilidades explotables remotamente en los
sistemas de información de ciertos modelos de vehículos de la marca Audi y
Volkswagen.
Dan Keuper y Thisj
Alkemade, investigadores de la empresa Computest, han hallado varias
vulnerabilidades en el sistema de información de los vehículos Audi A3
Sportback e-tron y Volkswagen Golf GTE fabricados en 2015. Las vulnerabilidades
encontradas podrían causar que un atacante pueda escuchar por el micrófono del
vehículo, acceder a los contactos de la agenda o acceder al histórico del
sistema de navegación del vehículo.
Una vez conectados a
la red wifi que ofrece el vehículo, mediante un exploit creado por ellos,
consiguieron acceder al sistema de información de estos vehículos, fabricado
por Harman. Una vez dentro, observaron que no podían enviar mensajes CAN (el
protocolo de intercambio de mensajes entre módulos del vehículo) de forma
directa, aunque si podían acceder a ciertas funcionalidades e información del
sistema de información.
Un segundo vector fue
encontrado a través de USB. En concreto, si el sistema detecta un dispositivo
USB-to-Ethernet (una tarjeta de red USB), levanta una nueva interfaz donde
expone el servicio vulnerable. Este vector a diferencia del primero requiere de
la manipulación física del vehículo.
El problema añadido
es que el software de estos vehículos no puede ser actualizado de forma remota,
siendo necesario que el vehículo sea actualizado en un centro autorizado. Por
parte de Volkswagen se han reconocido y corregido las vulnerabilidades
halladas; que fueron reportadas de forma responsable por la compañía holandesa.
El paper publicado
desgrana los detalles (hasta cierto punto) de la investigación realizada. Como
podemos ver, cada vez que los vehículos se llenan de funcionalidades
informáticas aumenta su superficie de exposición.
Desde hace años, este
tipo de sistemas son objeto de más y más investigaciones en las que podemos ver
como no se libran de fallos que pueden comprometer seriamente la seguridad
tanto lógica como física de los automóviles.
Más información:
- Research Paper: The Connected Car https://www.computest.nl/wp-content/uploads/2018/04/connected-car-rapport.pdf
Fuente: Hispasec