ARTDEPARTMENT
ARTDEPARTMENT
Un severo bug en el portal web de Kia permitió a un equipo de expertos en ciberseguridad controlar millones de vehículos de forma remota. La vulnerabilidad, localizada en la infraestructura web del fabricante surcoreano, posibilitó a los hackers desbloquear, encender y rastrear vehículos... y para ellos les bastó con conocer un número de matrícula.
El pasado junio, un equipo de investigadores descubrió que un simple error en la plataforma web de Kia permitía el comunicación no competente a millones de vehículos modernos. Descrita por el investigador Neiko Rivera como una vulnerabilidad propia de una "seguridad web muy insuficiente", ésta dejaba expuestos diversos modelos de Kia vendidos en los EE.UU. a toda una serie de amenazas...
...los hackers podían desbloquear puertas, encender motores e incluso rastrear el paradero de los vehículos con solo introducir el número de matrícula en una aplicación personalizada que desarrollaron como prueba de concepto.
Dicha aplicación funcionaba utilizando comandos directos a la API de Kia, una interfaz de software que permite a los usuarios interactuar con las funciones del transporte a través de Internet. En tan sólo unos segundos, podían hallar un coche, abrirlo y encenderlo.
Los investigadores asimismo lograron extraer información personal del propietario del transporte, como su nombre, número de teléfono, dirección de correo electrónico y dirección residencial. Esto hizo posible que los atacantes agregaran sus propios dispositivos como administradores de los vehículos sin el conocimiento del propietario.
Aunque es cierto que este ciberataque no permitía a los atacantes controlar directamente la dirección o los frenos del automóvil, la posibilidad de desbloquear y encender el transporte representa asimismo un severo peligro: según Sam Curry, miembro del equipo de investigación, este bug pudo suministrar robos o situaciones de acoso, por otra parte de exponer la privacidad de los usuarios. En el caso de modelos equipados con cámara de 360 grados, los atacantes podían incluso ver el entorno del transporte.
Según la firma de seguridad Kaspersky,
"esta vulnerabilidad podría estar de moda fácilmente para rastrear a su titular, robar objetos de valía que quedan interiormente del coche (o plantar poco allí) o alterar la vida de quien conduce con acciones inesperadas desde el coche".
Los investigadores identificaron el problema en un error simple en el 'backend' de Kia. El portal de Kia permitía el comunicación con privilegios administrativos sin repasar adecuadamente si el usufructuario en cuestión era un concesionario competente. Esto daba a cualquier persona la capacidad de controlar remotamente las funciones del transporte. Encima, los hackers encontraron una forma de convertir un número de matrícula en el número de identificación del transporte (VIN), facilitando la explotación de la vulnerabilidad.
Encima, esta vulnerabilidad no es monopolio de Kia. Según el equipo de investigación, marcas como Honda, Hyundai, Toyota y BMW presentan problemas similares en sus sistemas web. Los hackers encontraron vulnerabilidades en más de una docena de fabricantes, revelando un patrón de deficiencias en la ciberseguridad web de la industria automotriz.
El investigador Rivera señaló que la industria automotriz se ha centrado más en la seguridad de los componentes integrados de los vehículos, como los frenos y el sistema de dirección, mientras que la seguridad web ha quedado en segundo plano. Con el creciente número de funciones conectadas a Internet en los automóviles, la 'superficie de ataque' se ha ampliado enormemente, poniendo en peligro a los usuarios.
Stefan Savage, profesor de ciencias de la computación en UC San Diego, señala la razón última de este problema:
"¿Cómo se decide retrasar el tiro de un transporte seis meses porque el código web no está presto?".
Vía | Sam Curry
Imagen | Marcos Merino mediante IA
En Genbeta | Otro caso Alcasec: así extrajo este veinteañero durante abriles 40 millones de matrículas de la DGT para comercializarlas
Compartir este artículo
Consultoria Personalizada
¡Si aun no tienes presencia en internet o
necesitas ayuda con tus proyectos, por favor, escribenos!
En ARTDEPARTMENT nos especializamos en brindar soluciones para que tu negocio, empresa o proyecto sea visible en internet.