Ataques

Mercedes acaba con 19 vulnerabilidades del Clase E

Un equipo de especialistas chinos en ciberseguridad analizó a fondo el Clase E... y avisó a Mercedes de las vulnerabilidades detectadas en la unidad de control telemático y la tarjeta eSIM. Gracias a ellos, estos "agujeros" son historia.

Mercedes Clase E tres cuartos frontal

El año pasado, un equipo de especialistas chinos en ciberseguridad un mínimo de 19 vulnerabilidades en los sistemas del Mercedes Clase E. El jefe del grupo de investigadores Sky-Go Team, Minrui Yan, reveló los resultados a principios de agosto, en la conferencia Black Hat.

Las vulnerabilidades halladas permitirían obtener acceso remoto a diferentes funciones del vehículo. De esta forma, el cracker podría arrancar el motor sin necesidad siquiera de estar cerca del coche. También podría abrir y cerrar las puertas, o encender los faros.

El citado grupo Sky-Go Team está especializado en ciberseguridad de vehículos, dentro de la firma china Qihoo 360. Estos profesionales escogieron el Clase E para llevar a cabo un análisis de los sistemas conectados de Mercedes-Benz. Para explicar en qué consiste el ataque necesario con toda su complejidad, han presentado un informe completo sobre la investigación realizada. Según este documento, el cibercriminal tendría que acceder a la unidad de control telemático -TCU- del vehículo para llegar a su back end -la parte de una web, programa o aplicación no visible para el usuario, y que es la que se conecta con el servidor-.

Así se «colaron» en el vehículo

¿Cómo lo consiguieron los investigadores? En honor a la verdad, hay que señalar que a los especialistas en ciberseguridad les llevó más de un año encontrar la forma de atacar la TCU de Mercedes. De hecho, reconocen que, en líneas generales, es difícil sortear las medidas de ciberseguridad del vehículo. Así, para acceder a la información del back end, tuvieron que extraer la tarjeta eSIM integrada -con la que el coche se conecta a servidores externos de Internet- y conectarla a un router 4G.

Esta tarjeta eSIM hace posibles las funcionalidades de la aplicación Mercedes Me. El gran problema reside en que las peticiones que envía la app al back-end del vehículo no están autenticadas. En consecuencia, el ciberdelincuente puede atacarlas y lograr el acceso a los controles del coche, así como a contraseñas y certificados.

Afortunadamente, Sky-Go Team advirtió a Daimler de estas vulnerabilidades en agosto de 2019. Gracias al aviso, Mercedes suspendió momentáneamente sus servicios en línea dos días después; y, a los cinco días, ya había adoptado una solución provisional. Muy poco después, para mediados de septiembre, los problemas estaban completamente resueltos. En los meses siguientes, la colaboración entre Sky-Go Team y la marca fue estrecha para sacar conclusiones y extraer aprendizajes. Según el informe, solamente en China, más dos millones de unidades estaban afectadas. No obstante, para no dar pistas a los cibercriminales, algunos de los detalles más delicados han quedado entre el equipo de especialistas y la marca.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.