En enero de 2023 publicaron los resultados iniciales de su estudio. Es una amplia colección de vulnerabilidades web que afectan a Kia, Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Hyundai, Genesis, BMW, Rolls-Royce y Ferrari, y las informan a los fabricantes de automóviles. Para al menos media docena de estas empresas, escribieron, los errores web que descubrieron les permitieron obtener cierto grado de control sobre las funciones de conectividad de sus automóviles, como fue el caso con el último hack de Kia. Otros errores permitieron el acceso no autorizado a datos y aplicaciones internas de la empresa. Creen que otros errores podrían afectar el software de gestión de flotas de vehículos de emergencia e incluso impedir que se pongan en marcha, pero no tienen forma de probar de forma segura los trucos potencialmente peligrosos.
Currie dijo que en junio, Toyota descubrió que parecían persistir fallas similares en su portal web. Cuando se combina con las credenciales del concesionario que se encuentran en línea, permite el control remoto de funciones de los vehículos Toyota y Lexus, incluido el seguimiento, el desbloqueo, la bocina y el encendido. Informó la vulnerabilidad a Toyota y le mostró a WIRED un correo electrónico de confirmación que mostraba que podía reasignarle el control de las funciones de conectividad del Toyota afectado a través de la web. Sin embargo, Curry no grabó el video de la técnica de piratería de Toyota antes de informarlo a Toyota, y Toyota rápidamente corrigió los errores que reveló y desconectó temporalmente el portal web para evitar una mayor explotación.
“Como resultado de esta investigación, Toyota está deshabilitando inmediatamente las credenciales comprometidas, acelerando el refuerzo de seguridad del portal y deshabilitando temporalmente el portal hasta que se complete el refuerzo”, escribió un portavoz de Toyota en junio.
Funciones más inteligentes, errores más tontos
La sorprendente cantidad de vulnerabilidades en los sitios web de los fabricantes de automóviles que permiten el control remoto de los vehículos es el resultado de que las empresas intentan atraer a los consumidores, especialmente a los jóvenes, con funciones habilitadas para teléfonos inteligentes, dice Stephen Savage, experto en informática de la Universidad de California. El profesor cuyo equipo de investigación hackeó por primera vez el volante y los frenos de un automóvil a través de Internet en 2010, dijo: “Cuando combinas estas capacidades de usuario con un teléfono, algo que está conectado a la nube, creas una superficie de ataque completa de la que no tenías que preocuparte antes”, dijo Savage.
Aun así, le sorprende lo inseguro que es el código web que gestiona estas funciones. “Es un poco decepcionante que se pueda explotar tan fácilmente”, afirma.
Mientras trabajaba en ciberseguridad automotriz, Rivera observó que las empresas automotrices se estaban enfocando más en dispositivos “integrados” (componentes digitales de entornos informáticos no tradicionales como los automóviles) que en la seguridad web. Dice haberlo visto de primera mano. Esto se debe a que actualizar los dispositivos integrados es mucho más difícil y puede provocar retiradas del mercado. “Desde el momento en que comencé, tuve claro que existía una clara brecha entre la seguridad integrada y la seguridad web en la industria automotriz”, dice Rivera. “A menudo se mezclan ambas cosas, pero la gente sólo tiene experiencia con una u otra”.
Savage de UCSD espera que el trabajo de los investigadores de piratería de Kia pueda ayudar a cambiar ese enfoque. Muchos de los primeros experimentos de piratería de alto perfil que afectaron a los sistemas integrados en los automóviles, como la adquisición de Jeep en 2015 y el pirateo de Impala en 2010, llevados a cabo por el equipo de Savage en UCSD, afirma que convencieron a los fabricantes de que la ciberseguridad integrada debía ser una mayor prioridad. . Las empresas automotrices ahora también necesitan centrarse en la seguridad web, afirma, incluso si eso significa hacer sacrificios o cambiar procesos.
“¿Cómo se decide: 'No vamos a enviar el coche durante seis meses porque no comprobamos el código web?'. Es una decisión difícil”, afirma. “Espero que eventos como este hagan que la gente piense más profundamente sobre sus decisiones”.
https://www.wired.com/story/kia-web-vulnerability-vehicle-hack-track/
