Las amenazas a los autos conectados son una realidad. Hace unos años se trataba de teorías, vídeos publicados en Internet mostrando posibles ataques… pero ya sabemos que no es ciencia ficción. Sin ir muy lejos, hace unos días salía a la luz cómo un ladrón era capaz de robar un coche tan solo con una laptop. Ahora, se han descubierto dos vulnerabilidades sin solucionar en el servicio online de BMW ConnectedDrive y la web oficial de BMW que podrían suponer un problema de seguridad.
ConnectedDrive con vulnerabilidades
Investigadores de Vulnerability-Labs, han dado con dos vulnerabilidades de día cero (zero-day), lo que implica que siguen sin parchear, y cualquier persona se podría aprovechar de ellas.
La primera vulnerabilidad está relacionada con el VIN (Vehicle Identification Number – Número de Identificación del Vehículo), un código único que se usa para identificar los vehículos conectados al servicio.
Este código se encuentra en la aplicación web del servicio online ConnectedDrive. Este servicio es un sistema de entretenimiento de los nuevos BMW, con diferentes funciones y aplicaciones que proveen a los ocupantes del coche de información y entretenimiento durante el viaje. También permite gestionar los dispositivos inteligentes conectados del hogar (Smart Home devices), y obtener datos del tráfico. En fin, prácticamente un control total sobre el sistema del automóvil.
Este fallo encontrado en el gestor de sesiones de códigos VIN, podría ser usado por atacantes para saltarse las medidas de seguridad de validación de los códigos de forma remota, como explica The Hacker News, y de esta forma manipular los números VIN, configuraciones, ajustes del coche…
El segundo fallo es una vulnerabilidad XSS (cross-site scripting), un agujero de seguridad de las aplicaciones web que puede permitir a terceros inyectar código. Un vector de ataque que puede ser usado para robar datos, secuestrar sesiones, o comprometer el navegador. Para aprovecharse de esta vulnerabilidad el atacante no necesita acceder a la aplicación web con privilegios, con un nivel bajo pueden inyectar código malicioso en el módulo vulnerable. Si lo consiguen, podrían usarlo para realizar ataques de phishing, redirigir a los usuarios a fuentes maliciosas, o manipular los módulos conectados.
El laboratorio que encontró las vulnerabilidades explica que reportó los problemas encontrados al fabricante en febrero. La marca les respondió dos meses más tarde, pero al parecer los fallos siguen sin estar parcheados.