Expertos HC

La broma pesada que le gastó un hacker a su novia

Parecía el regalo perfecto... pero el hacker lo investigó y descubrió que implicaba demasiados riesgos. Por eso decidió desinstalarlo ¿De qué gadget para el coche se trata y a qué riesgos te expone?

La ciberseguridad en el mundo de los automóviles lleva bastantes años en entredicho. Cada poco tiempo, vemos cómo aparecen nuevas investigaciones donde se demuestra que aún queda mucho por hacer. Buena prueba de ello son algunas de las charlas presentadas recientemente en la conferencia de seguridad Defcon, celebrada en Las Vegas. En ellas, se mostraron nuevos vectores de ataque a automóviles que, aun sin estar conectados de fábrica, pueden verse afectados por un ciberataque tras instalarles ciertos dispositivos.

Arrancando el coche de forma remota

En la presentación ofrecida en la pasada Defcon por un investigador que responde al pseudónimo de Jmaxxz pudimos comprobar cómo lo que iba a ser una sencilla instalación de un dispositivo de arranque remoto del motor se terminó convirtiendo en toda una auditoría de seguridad donde se encontraron graves fallos.

Tondo empezó cuando este investigador quiso regalarle a su novia un sistema de arranque remoto para su automóvil. Razones no le faltaban. Y es que, al vivir en Canadá y sufrir bajas temperaturas durante el invierno, los dedos de su novia se congelaban al tener que conducir desde el aeropuerto hasta su casa. Está situación se agrava debido a que su novia padece de la enfermedad de Raynaud. Por eso, optaron por instalar un sistema que permitiese arrancar remotamente el automóvil. Así encontraba el coche a una temperatura adecuada cuando empezase a conducir.

Estos dispositivos permiten ser controlados remotamente mediante una aplicación móvil por lo que resultan muy prácticas. Aunque, tal y como nos ha enseñado la experiencia, muchas veces la comodidad está reñida con la seguridad. Siendo Jmaxxz un ingeniero de software preocupado por la seguridad, no es extraño que se preocupase también por los posibles nuevos riesgos y vectores de ataques que se podrían utilizar una vez estuviese instalado el dispositivo. Así que decidió investigar a fondo la seguridad implementada por el fabricante.

Vulnerabilidades encontradas

Pero lo que encontró no le gustó nada. Y es que, en solo 24 horas después de empezar a investigar, Jmaxx descubrió numerosas vulnerabilidades que permitirían a un atacante controlar totalmente el dispositivo de arranque remoto. Por si fuera poco, las aplicaciones utilizadas para gestionarlos también presentaban fallos de seguridad que permiten la geolocalización de automóviles, su desbloqueo, arranque o la activación de la alarma. Algo parecido a lo que vimos hace unos meses con algunos fabricantes de alarmas para coches.

El dispositivo adquirido por el investigador responde al nombre de Evo One. Este equipo utiliza un sistema de desarrollo canadiense -My Car- que comparte con otros fabricantes de soluciones similares, incluso con fabricantes como Kia. Se pueden encontrar fácilmente en tiendas online y son relativamente populares, algo que preocupó al investigador por el posible número de usuarios afectados.

En lo relativo al dispositivo en sí y los comandos que pueden ser enviados, este investigador consiguió capturar e interpretar los paquetes de información que se enviaban al dispositivo conectado al motor de arranque. Este paso previo le permitió clonar virtualmente el control remoto utilizado y lanzar sus propios comandos desde su ordenador mediante el bus DataLink. De esta forma, pudo desactivar la alarma o arrancar el vehículo.

Mujer en un parking abriendo su coche a través del móvil

Fallos graves en las App

A pesar de haber logrado un éxito importante “jugando” con el dispositivo de arranque remoto, Jmaxx no se detuvo ahí. Él siguió investigando, esta vez con las aplicaciones móviles relacionadas con MyCar y, especialmente, con su base de datos. Estos fallos de seguridad, de ser aprovechados por alguien con malas intenciones, podrían causar serios problemas a algunos de los propietarios de vehículos que tienen instalado el sistema. Unos 60.000 en todo el mundo, según cálculos del investigador.

El problema se encontraba en la pobre seguridad de la base de datos encargada de almacenar no solo los datos de los usuarios, sino también de gestionar los comandos a través de la aplicación móvil. Estos comandos permiten arrancar remotamente el vehículo, activar o desactivar la alarma o abrir y cerrar puertas, entre otros. Por eso, si se usan de forma indebida, podrían llegar a ocasionar incidentes graves.

Entre los fallos más peligrosos encontrados por este investigador se encuentra la inclusión de las claves de administrador en la propia aplicación, utilizadas para acceder a los datos almacenados por el fabricante, o numerosas vulnerabilidades por inyección SQL. Estos fallos se reportaron tanto al fabricante como al US CERT el pasado mes de febrero y fueron solucionados de forma paulatina durante los últimos meses. Algunos pocos días antes de su charla en la Defcon.

Además, este investigador también descubrió que, en esta base de datos, los desarrolladores de la aplicación MyCar almacenaban datos privados de sus usuarios. Por ejemplo, su ubicación. Concretamente, descubrió que, en apenas 13 días, se habían recopilado alrededor de 2.000 ubicaciones donde había estado el coche de su novia. Algo que no se avisa de forma explícita a la hora de adquirir este tipo de dispositivos.

Conclusión

No hace falta decir que este investigador terminó desinstalando este dispositivo y fabricando uno propio sin todos los fallos e inconvenientes que presentaban los de MyCar. Sin embargo esto es algo que está al alcance de pocos y la mayoría de usuarios desconoce este tipo de vulnerabilidades. Por eso es necesario informarse antes de adquirir un dispositivo como el que hemos comentado en este artículo. Especialmente, si este se encuentra conectado de alguna forma y admite comandos remotos.

*Artículo publicado originalmente por Josep Albors en el blog Protegerse.

Josep Albors
Soy responsable de Investigación y Concienciación de ESET España. Tengo más de 14 años de experiencia en el mundo de la seguridad informática y estoy especializado en el análisis de malware. También edito el blog de ESET España y colaboro en el blog internacional de ESET en español, WeLiveSecurity, además de otras múltiples publicaciones relacionadas con la seguridad de la información. He sido ponente en algunas de las conferencias de seguridad más importantes de España, además de colaborar con iniciativas como X1RedMasSegura. También he impartido charlas de concienciación y educación en seguridad informática y privacidad en centros educativos de todo tipo. Además, soy profesor en cursos de experto en seguridad y derecho tecnológico y congresos sobre ciberseguridad organizados por varias universidades españolas, y he colaborado con la Guardia Civil, Policía Nacional y el Ejercito de Tierra en la formación de nuevos agentes en materias relacionadas con la seguridad informática, ciberinteligencia y la prevención de la ciberdelincuencia.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.