Según un reciente estudio de Kaspersky Lab., es escenario de riesgo es muy claro, la privacidad, las actualizaciones y las apps de los smartphones para este tipo de automóviles son los tres objetivos principales en los que se concentrarán los delincuentes informáticos para lanzar sus ataques.
Kaspersky Lab y IAB Spain, la asociación que representa al sector de publicidad, marketing y comunicación digital en España, presentaron el Primer Estudio sobre Automóviles Conectados.
El objetivo de esta investigación fue ofrecer una perspectiva de la situación del mercado de este tipo de vehículos, aunando toda la información disponible, resolviendo las preguntas frecuentes y comprendiendo la alta fragmentación que existe entre los fabricantes. Vicente Díaz, analista senior de malware de Kaspersky Lab, fue el responsable de analizar, a través de una prueba de concepto, la seguridad de estas conexiones a Internet.
La prueba realizada por Kaspersky Lab, basada en el análisis del sistema BMW ConnectedDrive, encontró los siguientes vectores de ataque potenciales:
• Robo de credenciales: El robo de credenciales de usuario para acceso al portal de BMW, ya sea mediante phishing, keyloggers o ingeniería social, permitiría a un tercero acceder a información del usuario y del vehículo. A partir de aquí se podría instalar la aplicación para móvil con estas mismas credenciales que, en caso de tener activados los servicios remotos, podría permitir activar la apertura de puertas.
• Aplicación móvil: En caso de tener los servicios de apertura remota activados el móvil se convierte en las llaves. Si la aplicación no está bien asegurada, podría ser un vector de ataque en caso de robo del teléfono. En este caso, parece que es posible modificar la base de datos de la aplicación para evitar la autenticación PIN, por lo que un atacante podría evitarla y activar los servicios remotos.
• Actualizaciones. El proceso de actualización de los drivers bluetooth es a partir de la descarga de un archivo desde la web de BMW que posteriormente se instalará en el automóvil mediante un conector USB. Este archivo no está cifrado ni firmado, y es posible encontrar dentro del mismo mucha información interna del sistema que se ejecuta en el vehículo. Esto daría a un atacante potencial con acceso físico la posibilidad de conocer el entorno atacado. También podría modificarse la actualización para ejecutar código malicioso.
• Comunicaciones: Algunas funciones se comunican con la SIM interna del vehículo mediante mensajes SMS. Estos mensajes se pueden llegar a descifrar y enviar haciéndose pasar por otro remitente, en función del cifrado de la operadora. En el peor de los casos se podría reemplazar a BMW para la comunicación de ciertos servicios.
Compartir nota:
