La piratería remota de automóviles ahora es una realidad | doug newcomb

Hasta ahora, las demostraciones de piratería de automóviles se realizaban solo mientras los investigadores de seguridad estaban conectados al sistema eléctrico de un vehículo. Solo hubo un caso documentado en el mundo real de piratería remota de automóviles en 2010, pero ese fue un trabajo interno de un empleado descontento de un concesionario de automóviles, que bloqueó más de 100 vehículos aprovechando la tecnología diseñada para permitir la recuperación remota.

Pero a principios de esta semana, dos investigadores de seguridad que hicieron que la exposición de las vulnerabilidades de los automóviles conectados fuera una especie de cruzada mostró de manera dramática y algo peligrosa cómo pudieron desactivar de forma remota los sistemas críticos de un Jeep Cherokee 2014 mientras el vehículo estaba en una carretera de St. Louis. Charlie Miller, investigador de seguridad en Twitter, y Chris Valasek, director de investigación de seguridad de vehículos en IOActive, aparecieron en los titulares hace dos años al mostrar cómo podían tocar la bocina, apretar los cinturones de seguridad, apagar los frenos y controlar el volante. un Ford Escape y un Toyota Prius desde el asiento trasero usando computadoras portátiles y una conexión física a los vehículos.

Su seguimiento, una vez más con el escritor Andy Greenberg al volante, tenía la intención de asustar a las compañías automotrices y a los propietarios de automóviles al demostrar que los vehículos pueden ser pirateados de forma remota para causar estragos en la carretera. Mientras estaban sentados en el sótano de Miller a millas de distancia, la pareja utilizó una vulnerabilidad de seguridad en el sistema de información y entretenimiento Uconnect del vehículo para hacer explotar el aire acondicionado, sintonizar una estación de radio hip-hop y encender el sistema estéreo, encender el limpiaparabrisas y la lavadora, y publicar un imagen sarcástica en la pantalla en el tablero de ellos en trajes de chándal a juego.

Para dar a conocer su punto de vista sobre las vulnerabilidades de los automóviles modernos conectados, deshabilitaron la transmisión, haciendo que el Jeep pierda aceleración en la carretera, con una semi presión sobre ella. Más tarde, en un estacionamiento, también desactivaron los frenos del Jeep, haciendo que se deslice en una zanja con Greenberg al volante.

Asustando a los fabricantes de automóviles a la acción

Si leer esto te asusta, ese es precisamente el objetivo de las hazañas del par. Más específicamente, esperan asustar al público y, a su vez, sacudir a los fabricantes de automóviles a la acción en materia de ciberseguridad. Su último truco publicitario es el preludio de presentar su investigación de piratería remota en la conferencia de seguridad de Black Hat en Las Vegas el próximo mes, sin revelar los detalles a los piratas informáticos maliciosos. Miller y Valasek también notificaron a Fiat Chrysler Automobiles hace meses para que el fabricante de automóviles pudiera emitir un parche para todos los sistemas Uconnect afectados, hasta 471, 000 vehículos Chrysler, Dodge, Jeep y Ram equipados con el sistema de pantalla táctil U-Connect de 8.4 pulgadas.

Miller y Valasek aumentaron las apuestas y se volvieron remotos en su trabajo de piratería de automóviles, que está financiado por una subvención de la Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA), porque su demostración hace dos años "no tuvo el impacto con los fabricantes que queríamos ", Dijo Miller a Wired . Muchas personas involucradas en la industria automotriz (incluida la suya) cuestionaron si un truco remoto de un automóvil podría completarse con éxito, y ahora Miller y Valasek han eliminado cualquier duda.

El trabajo reciente de Miller y Valasek no es la única instancia de piratería remota de automóviles. Esta semana, los investigadores en Inglaterra encontraron un camino hacia la electrónica de un automóvil a través de la función de radio Digital Audio Broadcasting (DAB) comúnmente utilizada en Europa y Asia que podría permitir que un pirata informático envíe código malicioso para hacerse cargo de un sistema de infoentretenimiento. La BBC informó que "un atacante podría usarlo como una forma de controlar sistemas más críticos, incluida la dirección y el frenado". Y en febrero, el equivalente alemán del Auto Club encontró una falla de seguridad en algunos vehículos BMW que podría permitir a los piratas informáticos desbloquear las puertas de forma remota, y BMW envió de inmediato una actualización de software por aire (OTA) para abordar la vulnerabilidad.

Las contramedidas como las actualizaciones de OTA se están volviendo más comunes, como lo ha demostrado Tesla, y los fabricantes de automóviles han estado tratando de adelantarse a la amenaza de piratería de automóviles mediante la contratación de expertos en seguridad dedicados. Los grupos de la industria también formaron recientemente un nuevo consorcio llamado Auto Information Sharing Advisory Center (ISAC) para combatir las amenazas cibernéticas.

Actualmente, tampoco hay muchos incentivos para que los hackers apunten a los autos, más allá de hacer bromas maliciosas. "Dada la motivación de la mayoría de los hackers, la posibilidad de que sea muy baja", observó Damon McCoy, profesor asistente de ciencias de la computación en la Universidad George Mason e investigador de seguridad automotriz. Y Valasek dijo que "toma mucho tiempo, habilidad y dinero" lograr lo que él y Miller lograron.

La amenaza del pirateo de automóviles se ha comparado con la naciente Internet hace 20 años, cuando las computadoras comenzaron a conectarse y los Black Hats comenzaron a exponer y explotar vulnerabilidades. Las empresas como Microsoft, a su vez, se vieron obligadas a ponerse a la defensiva y emitir parches de seguridad e incluso recompensar a los nerds que descubrieron una vulnerabilidad con "recompensas de errores".

Pero no es 1995 y los piratas informáticos son más abundantes y sofisticados, y podría haber más autos conectados en la carretera ahora que eran computadoras conectadas hace dos décadas. La última ronda de piratería de automóviles aumenta considerablemente las apuestas. "Esto es lo que todos los que piensan sobre la seguridad del automóvil se han preocupado durante años", dijo Miller. "Esta es una realidad".