Se espera que los atacantes trabajen en afectar la privacidad, las actualizaciones y las apps de los smartphones conectadas a los autos.
La inclusión de tecnologías de comunicaciones e Internet dentro de los autos implica una serie de ventajas, pero también representa nuevos riesgos a los que el usuario no tenía que enfrentarse antes. Ante este panorama, es necesario analizar los distintos vectores que pueden provocar un posible ataque o fraude e incluso algún incidente en el funcionamiento del vehículo; es decir, es necesario proteger la privacidad, las actualizaciones y las apps, indica un estudio realizado por Kaspersky Lab y IAB Spain.
El Primer Estudio de Coches Conectados destaca que en un carro conectado, no se pueden obviar cuestiones relacionadas con la seguridad en las comunicaciones y servicios derivados de Internet, ya que no sólo se habla de la asistencia al estacionarse, sino de acceso a redes sociales, correo electrónico, conectividad con el smartphone, cálculo de rutas, aplicaciones que se ejecutan en el carro y más funcionalidades.
De acuerdo con la investigación, la privacidad, las actualizaciones y las apps para estos carros podrían ser los 3 focos de ataque en los que pueden centrarse los hackers para realizar sus ataques exitoso.
Vicente Díaz, analista Senior de Malware de Kaspersky Lab, se ha encargado de analizar, a través de una prueba de concepto, la seguridad de los coches conectados a Internet, y el objetivo de la investigación es ofrecer una perspectiva de la situación del mercado de los autos conectados, resolviendo las preguntas frecuentes y comprendiendo la alta fragmentación existente entre los fabricantes.
Díaz asegura que los riesgos que pueden sufrir los usuarios de coches conectados van desde el robo de contraseñas, apertura de puertas, acceso a servicios remoto, localización del coche e incluso el control físico del vehículo.
La prueba de concepto realizada, basada en el análisis del sistema BMW ConnectedDrive, ha detectado distintos vectores de ataque potenciales:
- Robo de credenciales: El robo de credenciales de usuario para acceso al portal de BMW, ya sea mediante phishing, keyloggers o ingeniería social, permitiría ingresar a información del usuario y del vehículo. Se corre el riesgo de que pueda instalarse la aplicación para móvil con las mismas credenciales que, en caso de tener activados los servicios remotos, podría permitir activar la apertura de puertas por ejemplo.
- Aplicación móvil: En caso de tener los servicios de apertura remota activados el móvil se convierte en las llaves. Si la aplicación no está protegida, podría ser un canal de ataque en caso de robo del teléfono. En este caso, parece que es posible modificar la base de datos de la aplicación para evitar la autenticación PIN, por lo que un hacker podría evitarla y activar los servicios remotos.
- Actualizaciones. El proceso de actualización de los drivers bluetooth se realiza a través de la descarga de un archivo desde la Web de BMW que posteriormente instalaremos en el carro mediante un USB. El archivo no está cifrado ni firmado, y es posible mucha información interna del sistema que se ejecuta en el auto; asimismo, parece que podría modificarse la actualización para ejecutar código malicioso.
- Comunicaciones: Algunas funciones se comunican con la SIM interna del vehículo vía mensajes SMS. Los mensajes se pueden llegar a descifrar y enviar haciéndose pasar por otro remitente, en función del cifrado de la operadora. En el peor de los casos se podría reemplazar a BMW para la comunicación de ciertos servicios.
Después de analizar 21 modelos de vehículos distintos, las conclusiones del informe son:
- Alta fragmentación: de sistemas operativos, modos de conexión y apps.
- Servicios gratuitos durante un tiempo limitado.
- Problema de cobertura: muchos de los servicios online necesitan de cobertura 3G para funcionar con normalidad.
- Consumo de datos que puede obligar al usuario a contratar una tarifa adicional.
- Asistentes vocales: la mayoría de los modelos la usan ya que es una de las maneras más seguras de controlar la oferta de conectividad que ofrecen los fabricantes.