Video: La otra verdad sobre la PIRATERIA. (Noviembre 2024)
La piratería de automóviles ha aparecido en muchos titulares últimamente, a pesar de que solo ha habido un incidente documentado (que fue un trabajo interno hace cinco años).
Ahora, la atención se ha centrado en los dispositivos de automóviles conectados del mercado de accesorios que se conectan al puerto de diagnóstico a bordo II del vehículo, también conocido como dongles OBD-II. Los dispositivos han existido durante varios años y permitieron a los propietarios de vehículos fabricados después de 1996 con un puerto ODB-II agregar conectividad. Son ofrecidos por compañías que van desde grandes aseguradoras de automóviles hasta una docena de nuevas empresas para todo, desde monitorear los estilos de manejo y la economía de combustible hasta rastrear a los adolescentes mientras están detrás del volante.
Cortar los frenos de un Corvette
Antes de una conferencia de seguridad esta semana, investigadores de la Universidad de California en San Diego (UCSD) revelaron cómo pudieron hackear de forma inalámbrica un dongle OBD-II conectado a un Corvette de último modelo. Enviaron mensajes SMS a un dispositivo que encendió los limpiaparabrisas del automóvil y cortó los frenos. Si bien los investigadores señalaron que el pirateo de los frenos solo se podía realizar a bajas velocidades debido a la forma en que está diseñado el vehículo, agregaron que el ataque podría adaptarse fácilmente a casi cualquier vehículo moderno para hacerse cargo de componentes críticos como la dirección o la transmisión.
"Adquirimos algunos de estos, los aplicamos ingeniería inversa y, en el camino, descubrimos que tenían un montón de deficiencias de seguridad", dijo Stefan Savage, profesor de seguridad informática de UCSD que dirigió el proyecto. Los dongles "brindan múltiples formas de… controlar remotamente casi cualquier cosa en el vehículo al que estaban conectados", agregó.
Los investigadores de UCSD alertaron a Metromile sobre la vulnerabilidad del dongle en junio, y la compañía dijo que envió de forma inalámbrica un parche de seguridad a los dispositivos. "Nos tomamos esto muy en serio tan pronto como lo descubrimos", dijo el CEO de Metromile, Dan Preston, a Wired .
Aún así, incluso después de que Metromile envió su parche de seguridad, miles de dongles eran visibles y aún pirateables, en gran parte porque fueron utilizados por la empresa española de gestión de flotas Coordina. En una declaración de la compañía matriz TomTom Telematics, Coordina dijo que investigó el ataque de los investigadores y descubrió que solo se aplica a una versión anterior de los dongles que usa la compañía. Ahora está en proceso de reemplazar un "número limitado" de esos dispositivos.
La compañía también señaló que el número de teléfono asignado a las tarjetas SIM en sus dispositivos no es público y no se puede contactar por mensaje de texto, como en el ataque de los investigadores de UCSD. Pero los investigadores respondieron que incluso sin conocer el número de teléfono de una tarjeta SIM, los dongles son susceptibles a ataques de fuerza bruta al enviar una lluvia de mensajes de texto.
Si bien los últimos hacks de autos de producción han tardado meses en realizarse de forma remota o requieren acceso físico al vehículo, las vulnerabilidades de seguridad de los dongles OBD-II conectados a la nube se conocen desde hace varios meses y parece ser mucho más fácil de hackear. Y el problema no se limita a los productos de dispositivos móviles. En enero, el investigador de seguridad Corey Thuen pudo hackear el dispositivo Snapshot de Progressive, mientras que los investigadores de la firma de ciberseguridad Argus encontraron fallas de seguridad con el dispositivo Zubie OBD-II.
Los investigadores señalaron que los posibles ataques no se limitan al Corvette utilizado en sus pruebas, y que posiblemente podrían secuestrar la dirección o los frenos de casi cualquier vehículo moderno con un dispositivo móvil conectado a su tablero. "No es solo este automóvil el que es vulnerable", dijo el investigador de la UCSD Karl Koscher.
Al igual que con los automóviles conectados de fabricantes de automóviles, aún no se ha documentado un hack malicioso de un vehículo con un dongle OBD-II. Pero los investigadores creen que la amenaza es real y señalan que, a diferencia de la conectividad en los automóviles de producción, no hay supervisión gubernamental para los dispositivos del mercado de accesorios.
"Tenemos un montón de estos que ya están en el mercado", agregó Savage. "Dado que hemos visto una explotación remota completa y estas cosas no están reguladas de ninguna manera y su uso está creciendo… Creo que es una evaluación justa de que habrá problemas en otros lugares".
"Piensa dos veces en lo que estás conectando a tu auto", advirtió Koscher. "Es difícil para el consumidor habitual saber que su dispositivo es confiable o no, pero es algo en lo que deberían pensar un momento. ¿Esto me expone a un mayor riesgo?"
Es una pregunta que los consumidores conectados han estado preguntando durante años, y los conductores que quieran conectar su automóvil a la nube a través del dongle OBD-II ahora también tendrán que preguntar.
