Seguridad

Vulnerabilidades remotas en vehículos de Audi y Volkswagen

Investigadores holandeses han encontrado vulnerabilidades explotables remotamente en los sistemas de información de ciertos modelos de vehículos de la marca Audi y Volkswagen.

Dan Keuper y Thisj Alkemade, investigadores de la empresa Computest, han hallado varias vulnerabilidades en el sistema de información de los vehículos Audi A3 Sportback e-tron y Volkswagen Golf GTE fabricados en 2015. Las vulnerabilidades encontradas podrían causar que un atacante pueda escuchar por el micrófono del vehículo, acceder a los contactos de la agenda o acceder al histórico del sistema de navegación del vehículo.




Una vez conectados a la red wifi que ofrece el vehículo, mediante un exploit creado por ellos, consiguieron acceder al sistema de información de estos vehículos, fabricado por Harman. Una vez dentro, observaron que no podían enviar mensajes CAN (el protocolo de intercambio de mensajes entre módulos del vehículo) de forma directa, aunque si podían acceder a ciertas funcionalidades e información del sistema de información. 

Un segundo vector fue encontrado a través de USB. En concreto, si el sistema detecta un dispositivo USB-to-Ethernet (una tarjeta de red USB), levanta una nueva interfaz donde expone el servicio vulnerable. Este vector a diferencia del primero requiere de la manipulación física del vehículo.

El problema añadido es que el software de estos vehículos no puede ser actualizado de forma remota, siendo necesario que el vehículo sea actualizado en un centro autorizado. Por parte de Volkswagen se han reconocido y corregido las vulnerabilidades halladas; que fueron reportadas de forma responsable por la compañía holandesa. 

El paper publicado desgrana los detalles (hasta cierto punto) de la investigación realizada. Como podemos ver, cada vez que los vehículos se llenan de funcionalidades informáticas aumenta su superficie de exposición. 

Desde hace años, este tipo de sistemas son objeto de más y más investigaciones en las que podemos ver como no se libran de fallos que pueden comprometer seriamente la seguridad tanto lógica como física de los automóviles. 




David García
@dgn1729


Más información:







Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.