La ciberseguridad en el mundo de los automóviles lleva bastantes años en entredicho. Cada poco tiempo, vemos cómo aparecen nuevas investigaciones donde se demuestra que aún queda mucho por hacer. Buena prueba de ello son algunas de las charlas presentadas recientemente en la conferencia de seguridad Defcon, celebrada en Las Vegas. En ellas, se mostraron nuevos vectores de ataque a automóviles que, aun sin estar conectados de fábrica, pueden verse afectados por un ciberataque tras instalarles ciertos dispositivos.
Arrancando el coche de forma remota
En la presentación ofrecida en la pasada Defcon por un investigador que responde al pseudónimo de Jmaxxz pudimos comprobar cómo lo que iba a ser una sencilla instalación de un dispositivo de arranque remoto del motor se terminó convirtiendo en toda una auditoría de seguridad donde se encontraron graves fallos.
Tondo empezó cuando este investigador quiso regalarle a su novia un sistema de arranque remoto para su automóvil. Razones no le faltaban. Y es que, al vivir en Canadá y sufrir bajas temperaturas durante el invierno, los dedos de su novia se congelaban al tener que conducir desde el aeropuerto hasta su casa. Está situación se agrava debido a que su novia padece de la enfermedad de Raynaud. Por eso, optaron por instalar un sistema que permitiese arrancar remotamente el automóvil. Así encontraba el coche a una temperatura adecuada cuando empezase a conducir.
Estos dispositivos permiten ser controlados remotamente mediante una aplicación móvil por lo que resultan muy prácticas. Aunque, tal y como nos ha enseñado la experiencia, muchas veces la comodidad está reñida con la seguridad. Siendo Jmaxxz un ingeniero de software preocupado por la seguridad, no es extraño que se preocupase también por los posibles nuevos riesgos y vectores de ataques que se podrían utilizar una vez estuviese instalado el dispositivo. Así que decidió investigar a fondo la seguridad implementada por el fabricante.
Vulnerabilidades encontradas
Pero lo que encontró no le gustó nada. Y es que, en solo 24 horas después de empezar a investigar, Jmaxx descubrió numerosas vulnerabilidades que permitirían a un atacante controlar totalmente el dispositivo de arranque remoto. Por si fuera poco, las aplicaciones utilizadas para gestionarlos también presentaban fallos de seguridad que permiten la geolocalización de automóviles, su desbloqueo, arranque o la activación de la alarma. Algo parecido a lo que vimos hace unos meses con algunos fabricantes de alarmas para coches.
El dispositivo adquirido por el investigador responde al nombre de Evo One. Este equipo utiliza un sistema de desarrollo canadiense -My Car- que comparte con otros fabricantes de soluciones similares, incluso con fabricantes como Kia. Se pueden encontrar fácilmente en tiendas online y son relativamente populares, algo que preocupó al investigador por el posible número de usuarios afectados.
En lo relativo al dispositivo en sí y los comandos que pueden ser enviados, este investigador consiguió capturar e interpretar los paquetes de información que se enviaban al dispositivo conectado al motor de arranque. Este paso previo le permitió clonar virtualmente el control remoto utilizado y lanzar sus propios comandos desde su ordenador mediante el bus DataLink. De esta forma, pudo desactivar la alarma o arrancar el vehículo.
Fallos graves en las App
A pesar de haber logrado un éxito importante “jugando” con el dispositivo de arranque remoto, Jmaxx no se detuvo ahí. Él siguió investigando, esta vez con las aplicaciones móviles relacionadas con MyCar y, especialmente, con su base de datos. Estos fallos de seguridad, de ser aprovechados por alguien con malas intenciones, podrían causar serios problemas a algunos de los propietarios de vehículos que tienen instalado el sistema. Unos 60.000 en todo el mundo, según cálculos del investigador.
El problema se encontraba en la pobre seguridad de la base de datos encargada de almacenar no solo los datos de los usuarios, sino también de gestionar los comandos a través de la aplicación móvil. Estos comandos permiten arrancar remotamente el vehículo, activar o desactivar la alarma o abrir y cerrar puertas, entre otros. Por eso, si se usan de forma indebida, podrían llegar a ocasionar incidentes graves.
Entre los fallos más peligrosos encontrados por este investigador se encuentra la inclusión de las claves de administrador en la propia aplicación, utilizadas para acceder a los datos almacenados por el fabricante, o numerosas vulnerabilidades por inyección SQL. Estos fallos se reportaron tanto al fabricante como al US CERT el pasado mes de febrero y fueron solucionados de forma paulatina durante los últimos meses. Algunos pocos días antes de su charla en la Defcon.
Además, este investigador también descubrió que, en esta base de datos, los desarrolladores de la aplicación MyCar almacenaban datos privados de sus usuarios. Por ejemplo, su ubicación. Concretamente, descubrió que, en apenas 13 días, se habían recopilado alrededor de 2.000 ubicaciones donde había estado el coche de su novia. Algo que no se avisa de forma explícita a la hora de adquirir este tipo de dispositivos.
Conclusión
No hace falta decir que este investigador terminó desinstalando este dispositivo y fabricando uno propio sin todos los fallos e inconvenientes que presentaban los de MyCar. Sin embargo esto es algo que está al alcance de pocos y la mayoría de usuarios desconoce este tipo de vulnerabilidades. Por eso es necesario informarse antes de adquirir un dispositivo como el que hemos comentado en este artículo. Especialmente, si este se encuentra conectado de alguna forma y admite comandos remotos.
*Artículo publicado originalmente por Josep Albors en el blog Protegerse.
