Saltar al contenido
ᐅ HielosMendez – Información digital que te dejara helado 🧊🥶

El exploit de día cero permite a los piratas informáticos sacar a los coches de la carretera de forma remota

Sin necesidad de una conexión física, o incluso una contraseña, los piratas informáticos han logrado controlar de forma remota un automóvil en la carretera. La demostración fue organizada por dos investigadores de seguridad para CableadoAndy Greenberg, mientras pirateaban su Jeep Cherokee y tomaban el volante, a través de Internet. Primero demostraron el acceso periférico, controlando los ventiladores, el estéreo, los limpiaparabrisas y el líquido del limpiaparabrisas. Entonces el ataque se puso serio.

De forma puramente remota, y sin haber tenido acceso físico al automóvil en ningún punto anterior, el los atacantes pudieron para desactivar la transmisión, desconectando el motor de la transmisión y poniendo funcionalmente el coche en punto muerto. El exploit también se puede controlar con los frenos del automóvil, pero en su ataque inicial, los piratas informáticos decidieron dejar que Greenberg se detuviera en una rampa de acceso a la autopista en funcionamiento. El periodista se vio obligado a llamar y pedir a los piratas informáticos que se detuvieran, su seguridad ahora depende de la voluntad de un extraño de abstenerse voluntariamente de explotar una vulnerabilidad que existe en cada Jeep Cherokee actualmente en la carretera, y potencialmente en cualquier otro vehículo Chrysler moderno, dado algunos ajustes básicos al ataque.

Charlie Miller, izquierda, investigador de seguridad en Twitter, y Chris Valasek, derecha, director de Investigación de seguridad de vehículos en IOActive.  (Foto © Whitney Curtis para WIRED.com)

Charlie Miller, izquierda y Chris Valasek, derecha. (Foto © Whitney Curtis para WIRED.com)

El ataque es posible gracias a un sistema en la mayoría de los modelos de Chrysler llamado UConnect, que computariza en gran medida el automóvil y permite muchas funciones interesantes al conectarse a un concentrador centralizado, accesible a través de un punto de acceso WiFi. Armado con nada más que la dirección IP del automóvil, este exploit permite la infiltración de la red interna del automóvil a través del punto de acceso WiFi, lo que permite que el firmware se reescriba por completo para otorgar acceso a los controles físicos del automóvil: la dirección, los frenos, el acelerador y más. Algunos de estos pueden controlarse directamente, otros simplemente desconectarse, pero todos son fundamentales para la seguridad vial.

Una evolución de un ataque anterior, menos debilitante, esta nueva actualización podría afectar a unos 471.000 coches en la carretera, según una búsqueda realizada por estos investigadores sobre el Sprint.

También permite la vigilancia del automóvil objetivo, a través del rastreo por GPS, y aunque el artículo no menciona específicamente los micrófonos en la cabina para los comandos de voz, ciertamente existen y muy probablemente estarán disponibles para cualquier persona con acceso a nivel de firmware. Los piratas informáticos se burlaron de Greenberg por la pantalla y el sistema estéreo; no hay razón para que el flujo de información no pueda ir al revés.

Los investigadores incluso se burlaron de su víctima mostrando una pequeña imagen de ellos mismos.

Los investigadores incluso se burlaron de su víctima mostrando una pequeña imagen de ellos mismos.

Todo lo relacionado con la vulnerabilidad, salvo los detalles de la versión maliciosa del firmware del automóvil, se presentará en la conferencia de piratería Black Hat en agosto. Los detalles ya se han puesto a disposición de la propia Chrysler, que lanzó un parche a principios de este mes, pero ese parche debe instalarse manualmente a través de un USB o por un técnico registrado. Esto significa que la mayoría de los Cherokees probablemente seguirán siendo vulnerables, y posiblemente otros modelos de Chrysler con ellos. Los investigadores tardaron varios meses en encontrar su solución de firmware, que es necesaria para el control directo del vehículo sin acceso físico a él, por lo que Chrysler tiene aproximadamente ese tiempo para desarrollar conciencia sobre este exploit entre sus propietarios.

¿Quizás la compañía debería usar el exploit para cambiar la pantalla de navegación de cada Cherokee a una advertencia y alerta de actualización? Con solo un poco de información sobre cada cliente, este exploit literalmente les permitiría hacer eso.

La vulnerabilidad inherente del automóvil moderno no es un problema único en el mundo saturado de computadoras de hoy. Su automóvil proporciona muchos avances electrónicos en su vida, pero también lo hace su refrigerador, si se fabricó más allá del 2010. La diferencia es que las posibles consecuencias de un ataque al refrigerador se limitan a la comida en mal estado y, más probablemente, a la infiltración de sus redes sociales. cuentas. Con un automóvil, las apuestas son obviamente mucho más altas.

"Suplantación de GPS" recientemente pudo dirigir suavemente un barco sin que la tripulación se diera cuenta, pero la tripulación nunca perdió físicamente la capacidad de corregir el rumbo.

Recientemente, la «suplantación de GPS» pudo dirigir suavemente un barco sin que la tripulación se diera cuenta, pero la tripulación nunca perdió físicamente la capacidad de corregir el rumbo.

Una pregunta pertinente es: ¿cómo hacemos que este tipo de ataques automovilísticos sea intrínsecamente imposible? Una cosa es aceptar que un pirata informático pueda obtener algún nivel de acceso remoto a un automóvil, pero otra muy distinta es aceptarlo. alguna El nivel de acceso remoto podría permitir el control físico directo. Todo lo que se requirió en este caso es reescribir el firmware de UConnect para que pueda enviar comandos a los componentes de conducción del automóvil; solo es una posibilidad porque esos componentes de conducción están conectados a la misma red que el sistema UConnect habilitado para WiFi. Entonces … ¿la solución es simplemente dejar de hacer eso?

Eso significaría renunciar a algunas funciones que se han vuelto bastante comunes. El sistema de seguridad OnStar puede abrir sus puertas por usted si pierde sus llaves, o puede detectar una avería y enviar ayuda. También puede apagar su automóvil en medio de un viaje si, por ejemplo, se está alejando de un oficial de policía que lo persigue. Dar ese control de todos modos fundamentalmente hace que ese control esté disponible para un pirata informático que ha obtenido acceso, y si la historia reciente nos ha enseñado algo, es que los piratas informáticos pueden encontrar una manera de obtener acceso a casi cualquier sistema complejo conectado a Internet.

Y, no desviarse al territorio del sombrero de aluminio, pero tener cualquier conexión física entre la computadora de un automóvil y sus funciones vitales de conducción abre la puerta a puertas traseras desconocidas y exploits de día cero legislados en secreto que podrían fácilmente igualar este truco en términos de habilidades. ellos conceden. Quiero hacer Por supuesto ¿Los Illuminati no pueden desconectar los frenos y provocar que se estrelle contra una palmera? Asegúrese de que no haya nada que controle esos frenos, excepto la fuerza mecánica aplicada como resultado directo del movimiento de su pie.

En este punto, cualquier característica más allá de ese nivel definitivamente cambia seguridad por comodidad.