Prueba Hacker

Prueba Hacker: Kia Ceed y Carlos Sahuquillo

En poco más de una década, el Kia Ceed se ha convertido en un muy buen referente entre los compactos del mercado. ¿Qué tiene de especial su sistema multimedia? Esto es lo que opina Carlos Sahuquillo.

Imagen tres cuartos delantero del Kia Ceed en color azul

He estado revisando el Ceed y lo cierto es que es un modelo muy interesante; sobre todo porque tiene más opciones de conectividad de lo esperado. Hay detalles de seguridad de esa conectividad que, siendo buenos, aún pueden ser mejores, como iremos viendo.

Nos hemos centrado en la parte multimedia y conectividad del vehículo. Por supuesto, de serie viene con Android Auto y Apple Car Play. Esa parte está segura, porque los fabricantes se han ido esmerando para que ese sistema de infotaiment no pueda acceder directamente a los datos de tu teléfono a menos que autorices esa cesión.

Imagen de Carlos Sahuquillo de GMV sentado en el Kia Ceed

También nos ha llamado la atención que tiene lo que se denomina un “cliente WiFI’; eso lo que permite es que desde tu teléfono crees una red HotSPot y así el coche va conectado a los datos de tu teléfono. ¿Con qué fin? Así el Ceed puede actulizar en tiempo real información del navegador, del tráfico, de radares…

También hemos probado a conectarlo directamente a un punto de acceso, es decir a un router como los que tienes en casa o en la oficina; cuando le ha dado la IP hemos hecho un escaneo de puertos sobre esa iP, para comprobar qué sistema había detrás y se ha identificado como un sistema Android con una base Linux.

Tenía ciertos puertos abiertos, que pueden ser una manera -con tiempo y dedicación- de saber si existiría algún tipo de vulnerabilidad. Eso sí, hasta el momento no hemos encontrado ninguna publicada; el problema es que al estar los puertos abiertos y por la mencionada base Linux es cuestión de tiempo que ese kernel de Linux -es decir, el componente central de dicho sistema operativo- se quede obsoleto y haya que actualizarlo habría que ver si se puede actualizar de manera sencilla, por ejemplo yendo a cualquier servicio oficial o si habría alguna otra forma; nosotros hemos visto que con la WiFi no es posible actualizar directamente el firmware.

Imagen del interior del Kia Ceed

Al usuario medio de este Kia -o de cualquier otro modelo que se pueda conectar a una red externa-, le recomendamos que no se conecte a una red que no sean seguras, que no se vean ‘limpias’. Si te conectas a tu móvil no habría mayor problema de seguridad, pero si estás en el párking de un centro comercial o de un Starbucks no es recomendable, porque son redes menos controladas y no habría ninguna medida de seguridad, un cortafuegos que permita cerrar los puertos, no hay forma de ver si hay más usuarios que estén conectados a esa misma red WiFi… podría ser peligroso.

Por otra parte tenemos la conectividad Bluetooth; en principio está bien pensada, ya que no hace pública demasiada información del coche. Como curiosidad, yo he sido incapaz de vincular por Bluetooth mi coche con mi teléfono Apple -no sé si por algún tipo de protección-… aunque sí he podido acceder a Apple Car Play sin problemas y utilizar todas sus funcionalidad.

Otra de las curiosidades es que las actualizaciones del sistema multimedia se realizan mediante una tarjeta SD que va insertada en su parte frontal. A través de ella se actualizan los mapas y los puertos; en otros vehículos hemos visto que se podría utilizar una SD para cargar en él algún tipo de programa malicioso que permita abrir una ‘puerta trasera’ a través de la cual intentar algo en el coche… aunque lo bueno aquí es que esa tarjeta SD y su ubicación están muy a la vista.

¿Un consejo? Mirar de vez en cuando que esa tarjeta es la que venía con el coche y que nadie la ha cambiado. No pasaría en este coche, pero sí podría darse el caso de que en algún vehículo de alquiler con un sistema de este tipo, alguien malicioso utilizase una tarjeta similar para acceder a los diferentes datos de los usuarios que han ido subiéndose al coche… y quedarse con posibles datos personales que se hayan quedado en el aparato.

¿Y qué pasa con los accesorios?

Me ha sorprendido, por lo demás, los gadgets como la base de carga qi inalámbrica y que es muy útil para recargar sin cables la batería de tu teléfono… aunque también puedes hacerlo de manera tradicional, mediante cable USB. Por cierto, que esas superficies qi pueden tener sus vulnerabilidades ´teóricas’; por ejemplo, se supone que hay un proceso de identificación entre tu móvil y la base de carga cuando dejas tu dispositivo ahí, pero podría ser que con un programa malicioso pues llegásemos a identificar los teléfonos que están ahí ‘conectados’ e, incluso, según el tipo de teléfono, enviarle más potencia de carga, algo que podría terminar por estropear el móvil. Sin embargo, esas bases no intercambian datos ni otra información de carácter personal.

Para conectarte a la red WiFi te vas al apartado de ‘ajustes’ y ahí encuentras el icono; verás que el cliente WiFI está activado y detecta todas las redes próximas. Tiene bastante potencia porque se conectaba a redes bastante lejanas. Calcula la ruta en función del tráfico en tiempo real; asimismo, tiene en cuenta condiciones climáticas para ajustar lo que vas a tardar en llegar.

También puedes ver los radares… pero sólo si está conectado; de lo contrario no te sale ninguna lista de radares más o menos obsoleta. No tiene sentido conectado a otra red Wifi externa porque el navegador si le introduces en ese momento una ruta, te va a poder calcular el tráfico… pero en cuanto eches a andar, se desconectará de dicha red y ya no tendrás información actualizada.

Mis consejos para ti… como usuario

Si crees que no vas a necesitar para nada esa conexión WIFi -porque básicamente no vas a utilizar el navegador del coche, sino por ejemplo los mapas de tu móvil-, lo más aconsejable es dejarla desconectada y así sabemos que no nos ‘engancharemos’ a ninguna red no segura donde haya gente capturando tráfico e intentando atacarla de alguna manera.

Si lo haces a través del móvil no habrá ningún problema; uno de los inconvenientes del coche es que cuando le das Internet no puedes distribuirla con los pasajeros para que, a su vez, se pudieran conectar.

Imagen tres cuartos traserodel Kia Ceed en color azul

A modo de resumen, diría que por funcionalidad, sencillez de uso, todo está muy bien; es muy intuitivo para cualquier tipo de usuario, incluso sin tener muchos conocimientos. Echo en falta quizá una parte gráfica algo más bonita -algo que se va a solucionar en la gama 2020, que incluye los nuevos sistemas multimedia con conectividad UVO-; sin embargo, al respuesta del sistema de infoentretenimiento es muy buena y fluida, aunque los menús tal vez se podrían haber trabajado un poco mejor.

Cualquier usuario puede acceder a todas las funciones básica de manera muy sencilla, incluso llegar a los ajustes de configuración sin perderse en una maraña de menús que lo hiciera inmanejable.

Carlos Sahuquillo
Soy technical leader de Ciberseguridad en Sistemas Embarcados de Secure e-Solutions de GMV Con más de 10 años centrado en el área de Ciberseguridad, desarrollando labores de auditoría, consultoría y planificación estratégica, además de participar activamente en algunas asociaciones internacionales como ISACA. Dispongo de algunas importantes certificaciones como CISA y CISM por ISACA, CISSP por (ISC)², Continuidad de Negocio por BSI, etcétera que avalan mis conocimientos en materia de Seguridad. En la actualidad estoy trabajando en la División de Consultoría y Servicios de Ciberseguridad de Secure e-Solutions de GMV donde realizamos tareas como Planes de Continuidad de Negocio, Planes de Seguridad, Sistemas de Gestión de Seguridad o Análisis de Riesgos y de Procesos. Dentro de esta división estoy centrado en Ciberseguridad en Sistemas Embarcados, desde el pentesting a dispositivos internos como ECUs/TCUs y CAN a la securización del software a instalar en dichos dispositivos, actualizaciones OTA y posibles ataques externos. Por otro lado, disfruto impartiendo cursos y conferencias de Ciberseguridad en un lenguaje fácil, comprensible y “entendible” al alcance de cualquiera. Además de contar con mi propio blog (https://sahuquillo.org/) en el que escribo sobre temas de actualidad: vehículos conectados, blockchain, privacidad, etc.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.