Ataques

3 famosos casos de crackeos contra apps de automóviles

La mayoría de marcas ya permiten controlar ciertos aspectos de un vehículo desde el móvil. Aunque desde que se comenzaron a implementar, siguen cometiendo errores de ciberseguridad similares.¿Cuáles son?

crackeos aplicación
Fuente: Ford

Casi todas las fabricantes de coches cuentan con aplicación para dispositivos móviles. Desde esta se puede tener cierto control sobre las preferencias en tu vehículo y adaptar la experiencia al usuario. Pero este control, también puede caer en otras manos a través de crackeos.

Desde su nacimiento, estas funcionalidades han cargado también con problemas de ciberseguridad. Sobre todo porque al estar dentro del ecosistema de un smarthphone, responde antes las mismas medidas de seguridad del dispositivo. Las cuales no resultan las más aconsejables.

Para ser consciente de hasta qué punto estas aplicaciones pueden suponer un riesgo, resulta interesante repasar algunos casos reales de crackeos en alguna aplicación, tal y como ha registrado EUROCYBCAR, y que se pueden consultar en su página web, donde ya hay recogidos más de 450 casos llevados a cabo contra vehículos, aplicaciones, infraestructuras, empresas automovilísticas, logísticas y de transportes…

Nissan Leaf

Desde su presentación, la gama Leaf de Nissan cuenta con una aplicación asociada que permite gestionar ciertos aspectos del sistema. Entre ellos, revisar el medidor de la batería o activar la calefacción. Pero también se revelaron pronto sus debilidades.

Para los crackers, resultaba muy sencillo tomar el control de un determinado coche desde la app. La única autorización que necesitaba el sistema, era que coincidiese el VIN o número de bastidor entre coche y aplicación.

Una cifra fácil de conseguir a través de ataques de fuerza bruta, pues está formada por unos cinco dígitos relacionados con la procedencia y el proceso de montaje del vehículo. Una vez el autor del ataque conoce este número, tiene completo acceso a las funcionalidades que la aplicación permite en el coche.

Ford Pass

Recientemente, se ha dado otro caso que ha involucrado a bastantes modelos de la marca Ford con soporte para la aplicación Ford Pass. La forma de acceso de los atacantes era la misma: el número VIN. Pero esta vez, este control se explota de forma distinta.

Esta vez han aprovechado el código abierto de la aplicación para añadirle funcionalidades compatibles con el dispositivo móvil. Así, los crackers podían crear atajos que permitiesen dar comandos de voz al coche a través de SIRI, aún estando lejos del vehículo.

El interceptor de apps

Cuando General Motors empezó a desarrollar su sistema Onstar, este se vio desafiado por un gadget de unos 80€. La aplicación de la compañía estadounidense permite localizar, abrir y encender el motor del coche, aunque no arrancarlo. Suponiendo un riesgo mayor que los casos anteriores.

El hacker Samy Kankar demostró que situar un dispositivo interceptor en uno de los vehículos que permitían estas interacciones, le podía dar control sobre el mismo. El proceso era simple, este gadget recogía las comunicaciones que se emitían desde el móvil para poder hacer uso propio de ellas. Por fortuna, el hacker lo hizo solo como demostración y colaboró para que GM pudiese resolver esta problemática.

Errores que se repiten y soluciones que llegan

Aunque estos casos y estudios estén separados en el tiempo, muestran errores y vulnerabilidades comunes, tal y como comentan los expertos en ciberseguridad de EUROCYBCAR. El primero, es la excesiva confianza en una autenticación fácil de obtener.

Sin embargo, la sencillez que permiten estas aplicaciones a la hora de alterar datos internos se debe a que son programas de código abierto. Es decir, que el usuario tiene libre acceso para cambiar sus valores internos.

Por último, hay que tener en cuenta la ausencia de sistemas de encriptado que protejan la información que intercambian el vehículo y el dispositivo. La buena noticia, es que las fabricantes parecen tomar nota de sus errores y cada vez subsanan más estas vulnerabilidades.

Para más información sobre las funcionalidades que estas aplicaciones añaden a tu coche, puedes consultar este artículo en el que Josep Albors las desgranaba con mayor profundidad.

David Sánchez
Periodista a punto de licenciarse -en Periodismo, obviamente-. Soy nativo digital e hijo de transportistas, así que la tecnología y el motor me vienen dados. Aunque la carrera sea inútil, creo en el periodismo como profesión y forma de afrontar la vida. Curiosidad, honestidad y pasión por la comunicación. Aun sin carnet el himno de mi vida es Born to Run, y eso que Bruce Springsteen me pilla lejos. Cultura, deportes y videojuegos completan el elenco de mis pasiones.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.