Investigadores de Tencent descubren 14 vulnerabilidades en vehículos de BMW
El hecho de que haya computadoras implementadas cada vez en más dispositivos hace que sea necesario extender las medidas en torno a la ciberseguridad. Aunque no acapare mucha atención en los medios, una de las cosas que más preocupan son los vehículos, sobre todo porque las vulnerabilidades halladas en su software y hardware podrían permitir su control remoto por parte de hackers, algo cuyas probabilidades aumentarían en caso de no recibir actualizaciones de software.
Investigadores de Tencent Keen Security Lab, radicado en China, han descubierto 14 vulnerabilidades en vehículos de la conocida marca alemana BMW tras la realización de una auditoría que empezó en enero de 2017 y acabó en febrero de 2018. Después de los hallazgos, el equipo de investigadores decidió reportárselas directamente a BWM, que terminó reconociendo públicamente su existencia. Algunas de las vulnerabilidades llevan presentes desde 2012.
El fabricante alemán ya ha empezado a desplegar algunos de los parches para los vehículos vulnerables y los investigadores han publicado un informe de 26 páginas en el que describen sus descubrimientos, aunque no han expuesto ciertos aspectos técnicos importantes para así evitar los abusos por parte de los hackers. Para garantizar que ningún vehículo corra peligro y dar margen a BMW para terminar su trabajo, han anunciado que todos los detalles serán mostrados durante los primeros meses de 2019.
Los investigadores se han centrado en tres componentes críticos de los vehículos de BMW: El sistema de entretenimiento, la Unidad de Control Telemático y el Módulo Central de Pasarela. Las 14 vulnerabilidades descubiertas se reparten de la siguiente manera entre las tres áreas mencionadas:
- 8 impactaron en el sistema de entretenimiento conectado a Internet, encargado de reproducir música y otros contenidos multimedia.
- 4 impactaron en la Unidad de Control Telemático, que ofrece servicios como el de telefonía, asistencia en caso de accidente y la posibilidad de bloquear y desbloquear las puertas de forma remota.
- 2 impactaron en el Módulo Central de Pasarela, que ha sido diseñado para recibir mensajes de diagnostico de la Unidad de Control Telemático y del sistema de entretenimiento para transferirlos a otras Unidades de Control Electrónico en diferentes CAN Bus.
Se ha podido saber que su explotación puede permitir a un atacante enviar mensajes de diagnóstico arbitrarios a la Unidad de Control del Motor, encargado de controlar las funciones eléctricas, y al CAN Bus, que se puede considerar como la médula espinal, abriendo así la puerta a la posibilidad de poder controlar, hasta cierto punto, las operaciones en el vehículo afectado.
No todas las vulnerabilidades pueden ser explotadas de forma remota, ya que cuatro de estas requieren de acceso físico al USB o al puerto de Diágnosticos a Bordo (ODB), mientras que otras cuatro requieren un acceso físico directo o indirecto. Sin embargo, no se puede decir lo mismo de las seis restantes, que sí pueden ser explotadas de forma remota, ya sea mediante el Bluetooth o la conexión de Internet móvil, incluso mientras se está conduciendo. Entre los modelos afectados nos encontramos a los BMW i Series, BMW X Series, BMW 3 Series, BMW 5 Series y BMW 7 Series.
Como reconocimiento, el fabricante de vehículos alemán ha convertido a los investigadores de Tencent Keen Security Lab en los primeros ganadores del Premio de Investigación de Digitalización e IT de BMW Group, describiendo su trabajo como “de lejos, la prueba más completa y compleja jamás realizada por un tercero en vehículos de BMW Group.”
Fuente: The Hacker News
Via: www.muyseguridad.net