La seguridad en los automóviles hace tiempo que dejó de centrarse únicamente en los sistemas de prevención de accidentes o en las medidas que incorpora un vehículo para proteger la integridad física de sus ocupantes. Desde hace años vemos como la seguridad lógica de los sistemas electrónicos y de conectividad de los coches se ha puesto en entredicho con numerosas investigaciones, y se ha convertido en un aspecto que deberíamos tener muy en cuenta por los problemas que pueden producirse al respecto.
Alarmas que hacen al coche más inseguro
Por si no hubiera suficiente con los fallos que se encuentran en el software que incluyen los fabricantes en sus vehículos, recientemente se han descubierto fallos graves en sistemas de alarma pensados para, entre otras cosas, evitar robos de vehículos mediante el clonado de llaves electrónicas.
Los investigadores de Pen Test Partners publicaron los resultados de una investigación realizada a varios sistemas de alarmas de coches. Se encontraron defectos graves en los fabricantes Viper y Pandora (dos de las más utilizadas actualmente) instalados en alrededor de 3 millones de vehículos en todo el mundo y que permitirían a un atacante realizar las siguientes acciones:
- Localizar el coche en tiempo real
- Averiguar el modelo de coche y datos del propietario
- Desactivación de la alarma
- Apertura del vehículo
- Activar / Desactivar el inmovilizador
- En algunos casos el motor puede detenerse mientras se conduce el vehículo
- Un fallo en una de las de alarmas permite espiar al conductor mediante el micrófono incorporado
En el siguiente vídeo los investigadores explican como descubrieron estos fallos y como pueden ser aprovechados por un atacante:
Las vulnerabilidades descubiertas en el código de las aplicaciones móviles que controlan remotamente estas alarmas son bastante evidentes y están basadas en referencias inseguras a objetos directos en la API. Esto permite a un atacante modificar los parámetros establecidos por el usuario legítimo, como el email, o solicitar una restauración de la contraseña desde el email malicioso y hacerse con el control de la cuenta.
Los investigadores encontraron los fallos en las aplicaciones antes de instalar las alarmas y decidieron hacer una prueba de concepto con sus vehículos. De esta forma, consiguieron geolocalizar un vehículo, hacer que se detuviera y secuestrarlo, forzando al propietario a abandonarlo.
La buena noticia es que, de la misma forma que fue fácil encontrar estos fallos y explotarlos, también lo ha sido solucionarlos. Los dos fabricantes de alarmas afectados ya han reconocido estos errores y los han solucionado en poco tiempo.
¿Son las aplicaciones móviles de los fabricantes de coches el siguiente objetivo?
Si bien estos fallos de seguridad se encontraban en dispositivos y aplicaciones de terceros que no venían de serie con el vehículo, ya es habitual que desde el propio fabricante de nuestro coche se nos ofrezca la posibilidad de descargar una app móvil para controlar varios aspectos del mismo. Desde estas aplicaciones se nos permite, por ejemplo, controlar el estado de varios componentes del vehículo, como el nivel del líquido refrigerante, el de frenos, el estado del freno de mano, etc. Sin embargo, también permite otras funciones como la apertura y cierre de puertas, ventanillas y maletero, funcionalidad que, en malas manos, puede terminar provocando el robo del coche o de lo que tengamos guardado en él.
También se debería analizar a fondo como se realiza todo el proceso de comunicación desde el dispositivo en el que tenemos instalada la aplicación hasta que llega al vehículo. El marketing de algunos fabricantes anuncia que la conexión se realiza de forma segura entre nuestro dispositivo y los servidores del fabricante pero no se especifica como de cifradas llegan estas órdenes al coche, o si hay algún sistema que evite ataques que intercepten esta comunicación en el punto final.
La seguridad (o falta de ella) de estas aplicaciones es algo que lleva tiempo preocupando a numerosos investigadores. Como prueba tenemos el caso del Nissan Leaf en 2016, donde el investigador Troy Hunt demostró como podía acceder a información de un vehículo a miles de kilómetros de distancia y activar ciertas funcionalidades de forma remota.
Conclusión
La conectividad de los automóviles y la inclusión de nuevas funcionalidades asociadas con sensores y sistemas electrónicos de todo tipo ha supuesto muchos beneficios en los últimos años para hacer la conducción más segura y la gestión del vehículo mucho más accesible, por no hablar de las importantes mejoras en los sistemas de entretenimiento y conectividad con otros dispositivos.
Sin embargo, de la misma forma que se incluyen todos estos nuevos sistemas, también debemos tener en cuenta que se abren las puertas para nuevos tipos de ataque. Esto es algo que los fabricantes deben tener muy en cuenta y deben escuchar las conclusiones de investigadores de todo el mundo para hacer sus vehículos más seguros frente a ciberataques antes de que estos empiecen a popularizarse.