Habría permitido rastrear y apagar los motores de arranque de la policía o las ambulancias
Se podría abusar de múltiples errores que afectan a millones de vehículos de 16 fabricantes diferentes para desbloquear, arrancar y rastrear automóviles, además de afectar a la privacidad de los propietarios.
Las vulnerabilidades de seguridad se encontraron en las API automotrices de Acura, BMW, Ferrari, Ford, Genesis, Honda, Hyundai, Infiniti, Jaguar, Kia, Land Rover, Mercedes-Benz, Nissan, Porsche, Rolls Royce, Toyota, así como en el software. de Reviver, SiriusXM y Spireon.
Las fallas abarcan una amplia gama, desde las que dan acceso a los sistemas internos de la empresa y la información del usuario hasta las debilidades que permitirían a un atacante enviar comandos de forma remota para lograr la ejecución del código.
La investigación se basa en hallazgos anteriores de fines del año pasado, cuando el investigador de Yuga Labs, Sam Curry y otros, detallaron fallas de seguridad en un servicio de vehículos conectados proporcionado por SiriusXM que podría poner a los automóviles en riesgo de sufrir ataques remotos.
El más grave de los problemas, que concierne a la solución telemática de Spireon, podría haberse aprovechado para obtener acceso administrativo completo, lo que permitiría a un adversario emitir comandos arbitrarios a unos 15,5 millones de vehículos, así como actualizar el firmware del dispositivo.
"Esto nos habría permitido rastrear y apagar los motores de arranque de la policía, las ambulancias y los vehículos de las fuerzas del orden de varias grandes ciudades y enviar comandos a esos vehículos", dijeron los investigadores.
Las vulnerabilidades identificadas en Mercedes-Benz podrían otorgar acceso a aplicaciones internas a través de un esquema de autenticación de inicio de sesión único (SSO) configurado incorrectamente, mientras que otras podrían permitir la toma de posesión de la cuenta del usuario y la divulgación de información confidencial.
Otras fallas hacen posible acceder o modificar registros de clientes, portales internos de distribuidores, rastrear ubicaciones GPS de vehículos en tiempo real, administrar los datos de matrículas para todos los clientes de Reviver e incluso actualizar el estado del vehículo como "robado".
Si bien todas las vulnerabilidades de seguridad han sido reparadas desde entonces por los respectivos fabricantes luego de la divulgación responsable, los hallazgos resaltan la necesidad de una estrategia de defensa en profundidad para contener las amenazas y mitigar el riesgo.
"Si un atacante pudiera encontrar vulnerabilidades en los puntos finales de la API que usaban los sistemas telemáticos de los vehículos, podría tocar la bocina, encender las luces, rastrear, bloquear/desbloquear y arrancar/detener vehículos de forma remota, de forma completamente remota", señalaron los investigadores.
"La interconexión de nuestros dispositivos hace que la seguridad de los automóviles sea más desafiante, como lo demuestran los ataques cibernéticos a los automóviles que aumentaron un 225 % en los últimos tres años, y el 84,5 % de estos ataques se ejecutaron de forma remota", dijo en un comunicado, Sandeep Singh, gerente sénior de servicios técnicos de HackerOne, explicando el aumento en los hackeos automotrices y la necesidad de colaborar con la comunidad de hackers éticos.
"A medida que la tecnología de los automóviles se vuelve más avanzada, también lo hace la complejidad de sus sistemas de software inteligentes", agregó Singh. "Identificar las vulnerabilidades de la cadena de suministro de software causadas por funciones 'inteligentes' requiere un conocimiento profundo de los sistemas de software y hardware y una comprensión de los protocolos personalizados que son específicos para los vehículos conectados y los sistemas automotrices".
