ConnectedDrive de BMW es vulnerable

ConnectedDriveLas amenazas a los autos conectados son una realidad. Hace unos años se trataba de teorías, vídeos publicados en Internet mostrando posibles ataques… pero ya sabemos que no es ciencia ficción. Sin ir muy lejos, hace unos días salía a la luz cómo un ladrón era capaz de robar un coche tan solo con una laptop. Ahora, se han descubierto dos vulnerabilidades sin solucionar en el servicio online de BMW ConnectedDrive y la web oficial de BMW que podrían suponer un problema de seguridad.

ConnectedDrive con vulnerabilidades

Investigadores de Vulnerability-Labs, han dado con dos vulnerabilidades de día cero (zero-day), lo que implica que siguen sin parchear, y cualquier persona se podría aprovechar de ellas.

La primera vulnerabilidad está relacionada con el VIN (Vehicle Identification Number – Número de Identificación del Vehículo), un código único que se usa para identificar los vehículos conectados al servicio.

Este código se encuentra en la aplicación web del servicio online ConnectedDrive. Este servicio es un sistema de entretenimiento de los nuevos BMW, con diferentes funciones y aplicaciones que proveen a los ocupantes del coche de información y entretenimiento durante el viaje. También permite gestionar los dispositivos inteligentes conectados del hogar (Smart Home devices),  y obtener datos del tráfico. En fin, prácticamente un control total sobre el sistema del automóvil.

Este fallo encontrado en el gestor de sesiones de códigos VIN, podría ser usado por atacantes para saltarse las medidas de seguridad de validación de los códigos de forma remota, como explica The Hacker News, y de esta forma manipular los números VIN, configuraciones, ajustes del coche…

El segundo fallo es una vulnerabilidad XSS (cross-site scripting), un agujero de seguridad de las aplicaciones web que puede permitir a terceros inyectar código. Un vector de ataque que puede ser usado para robar datos, secuestrar sesiones, o comprometer el navegador. Para aprovecharse de esta vulnerabilidad el atacante no necesita acceder a la aplicación web con privilegios, con un nivel bajo pueden inyectar código malicioso en el módulo vulnerable. Si lo consiguen, podrían usarlo para realizar ataques de phishing, redirigir a los usuarios a fuentes maliciosas, o manipular los módulos conectados.

El laboratorio que encontró las vulnerabilidades explica que reportó los problemas encontrados al fabricante en febrero. La marca les respondió dos meses más tarde, pero al parecer los fallos siguen sin estar parcheados.

Fuente

Sobre el Autor

ElTecnólogoEM

Técnico en Informática, apasionado y amante de todo lo relacionado con Internet, juegos, consolas, software y las nuevas tecnologías.

Deja un comentario

Centro de preferencias de privacidad

Necessary

Las webs propiedad de BlogTi Media utilizan "cookies". Las cookies son ficheros creados en el navegador por medio de un servidor web para registrar las actividades del Usuario en una web determinada. Usamos esta información en formatos estadísticos y agregados para evaluar la eficacia y calidad de nuestras webs. Gracias a estos datos podemos mejorar tu experiencia al visitar alguna de nuestras web, tomando en cuenta prioridades e intereses de los visitantes. No recogeremos información personal sin tu consentimiento como por ejemplo nombre, apellido, correo electrónico, dirección postal o alguna otra de carácter privado.

Además se instalan cookies sobre servicios de terceros: • Facebook: Tiene como objetivo compartir los contenidos en Facebook. Sus finalidades están descritas en la Página de Cookies de Facebook. • Twitter: Permite compartir contenidos en Twitter. Sus finalidades están descritas en la Página de Privacidad de Twitter. • Google+: Permite compartir contenidos en Google+. Sus finalidades están descritas en la Página de Cookies de Google.

Advertising

Las políticas de Google Adsense y Bing Ads ayudan a los anunciantes a saber cómo crear un buen anuncio y lo que se puede incluir y no se puede incluir en ellos. Revisamos los anuncios y las palabras clave en función de estos requisitos para proporcionarte a ti y a tus clientes una fantástica experiencia en nuestra red publicitaria. Debes cumplir todas las políticas de Bing Ads. Usa las siguientes políticas para ayudar a que tus anuncios reciban la aprobación rápidamente y para evitar las consecuencias resultantes o retrasos. Nos reservamos el derecho de rechazar o eliminar cualquier anuncio, a nuestra entera discreción y en todo momento.