Vulnerabilidades remotas en vehículos de Audi y Volkswagen
Una vez conectados a la red wifi que ofrece el vehículo, mediante un exploit creado por ellos, consiguieron acceder al sistema de información de estos vehículos, fabricado por Harman. Una vez dentro, observaron que no podían enviar mensajes CAN (el protocolo de intercambio de mensajes entre módulos del vehículo) de forma directa, aunque si podían acceder a ciertas funcionalidades e información del sistema de información.
Un segundo vector fue encontrado a través de USB. En concreto, si el sistema detecta un dispositivo USB-to-Ethernet (una tarjeta de red USB), levanta una nueva interfaz donde expone el servicio vulnerable. Este vector a diferencia del primero requiere de la manipulación física del vehículo.
El problema añadido es que el software de estos vehículos no puede ser actualizado de forma remota, siendo necesario que el vehículo sea actualizado en un centro autorizado. Por parte de Volkswagen se han reconocido y corregido las vulnerabilidades halladas; que fueron reportadas de forma responsable por la compañía holandesa.
El paper publicado desgrana los detalles (hasta cierto punto) de la investigación realizada. Como podemos ver, cada vez que los vehículos se llenan de funcionalidades informáticas aumenta su superficie de exposición.
Desde hace años, este tipo de sistemas son objeto de más y más investigaciones en las que podemos ver como no se libran de fallos que pueden comprometer seriamente la seguridad tanto lógica como física de los automóviles.
https://www.computest.nl/wp-content/uploads/2018/04/connected-car-rapport.pdf
Powered by WPeMatico