Ataques

Los secretos de las furgonetas de Mercedes, revelados en Internet

Un código de los sistemas internos de las furgonetas de Mercedes ha sido descubierto por un investigador. Eso sí, la forma en la que este ha actuado deja dudas sobre su legalidad. ¿Cuáles son las consecuencias del hallazgo?

Imagen de una Mercedes Vito Tourer tres cuartos delantero

Una parte del software de las furgonetas de Mercedes se ha filtrado en Internet. Se trata del código fuente instalado en las unidades lógicas -OLU- de dichos vehículos. ¿Qué consecuencias tiene esto?

Así fue el hallazgo

Todo comenzó cuando Till Kottmann, un ingeniero de software suizo, descubrió los códigos en el portal web GitLab, según revela ZDNet. Esta web sirve, precisamente, para alojar códigos fuente. El ingeniero logró descargar 580 repositorios del código fuente de las OLU instaladas en furgonetas Mercedes.

Las OLU son unos componentes que el fabricante usa para conectar los vehículos a la nube. Con todo eso, los ingenieros de la marca pueden acceder a los datos de las furgonetas sin necesidad de tener acceso físico a las mismas. Entre las posibilidades que esta tecnología permite, se encuentran la recuperación de datos del vehículo en directo, su rastreo -algo muy útil en caso de robo- y conocer su estado interno.

Kottmann logró los códigos fuente de las OLU ingresando una cuenta falsa de correo electrónico corporativo de Daimler -la empresa matriz de Mercedes- en el servidor oficial que posee el fabricante en GitLab. No le apareció un proceso confirmación de cuenta en ningún momento.

«A menudo busco instancias interesantes de GitLab cuando estoy aburrido. Me sorprende lo poco que parece pensar en la configuración de seguridad» explicó Kottmann en declaraciones recogidas por ZDNet.

El ingeniero reconoce que tuvo algo de suerte al descubrir este problema: «Honestamente, fue un hallazgo muy afortunado mientras revisaba algunas marcas que no había verificado antes. Tenía la esperanza de encontrar fallos en pequeños contratistas o algo así» afirmó.

Tras haber hecho la descarga del más de medio millar de códigos fuente, el investigador los subió a Internet. De esta forma, los archivos pasaron a estar disponibles en varios lugares, como el servicio de alojamiento de archivos MEGA y en el propio servidor de GitLab del ingeniero.

Kottmann declaró a ZDNet que tiene la intención de dejar el código fuente de Daimler en línea hasta que la compañía se comunique para solicitar que lo elimine. Una práctica que, como explica el medio, deja bastantes dudas sobre su legalidad, porque debió notificar a Daimler antes de hacer esto.

¿Qué repercusión tiene este hallazgo?

A priori, esa filtración del código fuente puede ser inofensiva y no serviría para que un ciberdelincuente tuviera acceso a todas las funciones que permiten las OLU -conocer a distancia ciertos datos del vehículo-.

Sin embargo, ZDNet afirma que en los datos expuestos también se incluyen contraseñas y tokens -firmas cifradas- de acceso a sistemas internos de Daimler. Por tanto, esa información podría servir para colarse dentro de la nube y la red interna del fabricante.

La respuesta por parte de Daimler a este hallazgo ha sido el borrado del servidor donde estaban disponibles los datos que descargó Kottmann.

J.M. de la Torre
He estudiado Periodismo para aprender cada día algo nuevo y Humanidades para pensar por mí mismo. Después de ponerme tras los micrófonos de COPE, estoy dispuesto a pasar página en el periodismo del motor. Desde bien pequeñito, los coches han estado en el centro de mis intereses y (según cuentan mis padres) ya con 3 años dejaba alucinada a la gente porque sabía reconocer la marca y el modelo de los coches que veía. La curiosidad es algo fundamental para un periodista, y ¡cómo no iba a sentir curiosidad por los coches del futuro y las tecnologías que los harán posibles!

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.