La ciberseguridad en el mundo de los automóviles lleva bastantes años en entredicho y cada poco tiempo vemos como aparecen nuevas investigaciones donde se demuestra que aun queda mucho por hacer. Buena prueba de ello son algunas de las charlas presentadas recientemente en la conferencia de seguridad Defcon celebrada en Las Vegas y que han mostrado nuevos vectores de ataque a automóviles que, aun sin estar conectados de fábrica, pueden verse afectados por un ciberataque tras instalarles ciertos dispositivos.
Arrancando el coche de forma remota
En la presentación ofrecida por el investigador que responde al pseudónimo de Jmaxxz en la pasada Defcon pudimos comprobar como, lo que iba a ser una sencilla instalación de un dispositivo de arranque remoto del motor se terminó convirtiendo en toda una auditoría de seguridad donde se encontraron graves fallos.
Tondo empezó cuando este investigador quiso regalarle a su novia un sistema de arranque remoto para su automóvil. Razones no le faltaban ya que, al vivir en Canada y sufrir bajas temperaturas durante el invierno, los dedos de su novia se congelaban al tener que conducir desde el aeropuerto hasta su casa cada vez que volvía de un viaje. Está situación se agrava debido a que su novia padece de la enfermedad de Raynaud y por eso optaron por instalar un sistema de que permitiese arrancar remotamente el automóvil y así encontrar el coche a una temperatura adecuada cuando empezase a conducir.
Estos dispositivos permiten ser controlados remotamente mediante una aplicación móvil por lo que resultan muy prácticas aunque, tal y como nos ha enseñado la experiencia, muchas veces la comodidad está reñida con la seguridad. Siendo Jmaxxz un ingeniero de software preocupado por la seguridad no es extraño que se preocupase también por los posibles nuevos riesgos y vectores de ataques que se podrían utilizar una vez estuviese instalado el dispositivo, así que decidió investigar a fondo la seguridad implementada por el fabricante.
Vulnerabilidades encontradas
Lo que encontró no le gustó nada y es que, en solo 24 horas tras empezar a investigar, Jmaxx descubrió numerosas vulnerabilidades que permitirían a un atacante controlar totalmente el dispositivo de arranque remoto. Por si fuera poco, las aplicaciones utilizadas para gestionarlos también presentaban fallos de seguridad que permiten la geolocalización de automóviles, su desbloqueo, arranque o la activación de la alarma, algo parecido a lo que vimos hace unos meses con algunos fabricantes de alarmas para coches.
El dispositivo adquirido por el investigador responde al nombre de Evo One y utiliza un sistema de desarrollo canadiense que comparte con otros fabricantes de soluciones similares, o incluso de fabricantes como Kia, y que responde al nombre de MyCar. Se pueden encontrar fácilmente en tiendas online y son relativamente populares, algo que preocupó al investigador por el posible número de usuarios afectados.
En lo relativo al dispositivo en sí y los comandos que pueden ser enviados, este investigador consiguió capturar e interpretar los paquetes de información que se enviaban al dispositivo conectado al motor de arranque. Este paso previo le permitió clonar virtualmente el control remoto utilizado y lanzar sus propios comandos desde su ordenador mediante el bus DataLink, permitiendo así realizar acciones como desactivar la alarma o arrancar el vehículo.
Fallos graves en las App
A pesar de haber logrado un éxito importante “jugando” con el dispositivo de arranque remoto, Jmaxx no se detuvo ahí y siguió investigando, esta vez con las aplicaciones móviles relacionadas con MyCar y, especialmente, con su base de datos. Estos fallos de seguridad, de haber sido aprovechados por alguien con malas intenciones, podrían haber causado serios problemas a algunos de los alrededor de 60.000 propietarios de vehículos con este sistema instalado que el investigador detectó por todo el mundo.
El problema se encontraba en la pobre seguridad de la base de datos encargada de almacenar no solo los datos de los usuarios sino también de gestionar los comandos a través de la aplicación móvil. Estos comandos permiten arrancar remotamente el vehículo, activar o desactivar la alarma o abrir y cerrar puertas, entre otros, por lo que usados de forma indebida podrían llegar a ocasionar incidentes graves.
Entre los fallos más peligrosos encontrados por este investigador se encuentra la inclusión de las claves de administrador en la propia aplicación, utilizadas para acceder a los datos almacenados por el fabricante, o numerosas vulnerabilidades por inyección SQL. Estos fallos fueron reportados tanto al fabricante como al US CERT el pasado mes de febrero y fueron solucionados de forma paulatina durante los últimos meses (algunos pocos días antes de su charla en la Defcon).
Además, este investigador también descubrió que, en esta base de datos, los desarrolladores de la aplicación MyCar también almacenaban datos privados de sus usuarios, datos tales como su ubicación. Concretamente descubrió que en apenas 13 días se habían recopilado alrededor de 2000 ubicaciones donde había estado el coche de su novia, algo de lo que no se avisa de forma explicita a la hora de adquirir este tipo de dispositivos.
Conclusión
No hace falta decir que este investigador terminó desinstalando este dispositivo y fabricando uno propio sin todos los fallos e inconvenientes que presentaban los de MyCar. Sin embargo esto es algo que está al alcance de pocos y la mayoría de usuarios desconoce este tipo de vulnerabilidades. Por eso es necesario informarse antes de adquirir un dispositivo como el que hemos comentado en este artículo, especialmente si este se encuentra conectado de alguna forma y admite comandos remotos.