¿El progreso?

IT Now Panamá - - SECURITY -

La apli­ca­ción mó­vil Com­pa­nion ex­pu­so a los au­to­mó­vi­les Hyun­dai a po­si­bles se­cues­tros, el apli­ca­ti­vo no pu­do pro­TE­GER LOS DA­TOS CON­fi­DEN­cia­les que po­drían ha­ber per­mi­ti­do a los hac­kers in­for­má­ti­cos lo­ca­li­zar, des­blo­quear e ini­ciar vehícu­los de for­ma re­mo­ta.

Es el úl­ti­mo de una se­rie de fa­llas en­con­tra­das en los úl­ti­mos años en las ca­rac­te­rís­ti­cas “in­te­li­gen­tes” agre­ga­das por los fa­bri­can­tes de vehícu­los a sus au­to­mó­vi­les.

El te­ma de Hyun­dai fue des­cu­bier­to por los in­ves­ti­ga­do­res in­de­pen­dien­tes Wi­lliam Hat­zer y Ar­jun Ku­mar al ana­li­zar MyH­yun­dai con la apli­ca­ción mó­vil Blue Link.

Blue Link es una tec­no­lo­gía ba­sa­da en sus­crip­ción que es­tá dis­po­ni­ble pa­ra mu­chos mo­de­los de au­to­mó­vi­les Hyun­dai lan­za­dos des­pués de 2012. Per­mi­te a los pro­pie­ta­rios de au­to­mó- vi­les ubi­car re­mo­ta­men­te sus vehícu­los en ca­so de ro­bo, pa­ra des­blo­quear­los de for­ma re­mo­ta si pier­den o ex­tra­vían sus lla­ves, e in­clu­so pa­ra ini­ciar re­mo­ta­men­te o de­te­ner su mo­tor cuan­do es­tán es­ta­cio­na­dos y blo­quea­dos.

Los in­ves­ti­ga­do­res en­con­tra­ron que a par­tir de la ver­sión 3.9.4 de la apli­ca­ción mó­vil, lan­za­da a prin­ci­pios de di­ciem­bre, Hyun­dai agre­gó una función pa­ra car­gar un ar­chi­vo de re­gis­tro en un ser­vi­dor re­mo­to. La co­ne­xión al ser­vi­dor no es­ta­ba en­crip­ta­da con HTTPS, pe­ro Hyun­dai in­ten­tó pro­te­ger los da­tos del re­gis­tro en­crip­tan­do con una cla­ve es­tá­ti­ca com­par­ti­da por to­dos los usua­rios.

El pro­ble­ma es que es­ta cla­ve es­tá co­di­fi­ca­da den­tro de la apli­ca­ción, por lo que cual­quie­ra pue­de des­car­gar la apli­ca­ción, en­con­trar la cla­ve y ex­traer­la. Es­to per­mi­te que un atacante que es­té en po­si­ción de in­ter­cep- tar el trá­fi­co de un te­lé­fono mó­vil con la apli­ca­ción ins­ta­la­da in­ter­cep­te y des­ci­fre los da­tos de re­gis­tro.

El re­gis­tro de la apli­ca­ción con­tie­ne in­for­ma­ción con­fi­den­cial co­mo el nom­bre de usua­rio, la con­tra­se­ña y el PIN del pro­pie­ta­rio del au­to­mó­vil, así co­mo da­tos de GPS que po­drían re­ve­lar el his­to­rial de ubi­ca­ción del au­to­mó­vil. Los ata­ques Hom­bre-en-el-me­dio se pue­den eje­cu­tar en re­des inalám­bri­cas in­se­gu­ras, a tra­vés de en­ru­ta­do­res com­pro­me­ti­dos o in­clu­so más arri­ba en la ca­de­na de la red, si el atacante gana vi­si­bi­li­dad en el ni­vel del ISP.

Hat­zer y Ku­mar tra­ba­ja­ron con la fir­ma de se­gu­ri­dad Ra­pid7 pa­ra coor­di­nar la re­ve­la­ción de vul­ne­ra­bi­li­dad con Hyun­dai, el Equi­po de Res­pues­ta de Emer­gen­cia Ci­ber­né­ti­ca del Sis­te­ma de Con­trol In­dus­trial del De­par­ta­men­to de Se­gu­ri­dad Na­cio­nal de los EE. UU. (ICS-CERT) y el Cen­tro de Coor­di­na­ción CERT de la Universidad Car­ne­gie Me­llon.

ICS-CERT pu­bli­có un avi­so pa­ra el te­ma el mar­tes, ca­li­fi­can­do la fa­lla pa­ra ase­gu­rar co­mu­ni­ca­cio­nes con­tra ata­ques MitM co­mo gra­ve­dad me­dia y el uso de una cla­ve de en­crip­ta­ción co­di­fi­ca­da co­mo de al­ta se­ve­ri­dad.

Hyun­dai Mo­tor Amé­ri­ca so­lu­cio­nó el pro­ble­ma en la ver­sión 3.9.6 de su apli­ca­ción mó­vil Blue Link pa­ra An­droid e iOS. La com­pa­ñía le di­jo a Ra­pid7 que des­pués de su in­ves­ti­ga­ción no tie­ne co­no­ci­mien­to de nin­gún clien­te afec­ta­do por es­te pro­ble­ma.

Hyun­dai es miem­bro del Cen­tro de aná­li­sis y com­par­ti­ción de in­for­ma­ción au­to­mo­triz (Au­to-ISAC), un gru­po de la in­dus­tria pa­ra com­par­tir in­for­ma­ción so­bre las ame­na­zas a la se­gu­ri­dad ci­ber­né­ti­ca y las me­jo­res prác­ti­cas.

Ha ha­bi­do al­gún progreso en la ci­ber­se­gu­ri­dad au­to­mo­triz en los úl­ti­mos años, con va­rios fa­bri­can­tes lan­zan­do pro­gra­mas de bo­ni­fi­ca­ción de erro­res y mos­tran­do su vo­lun­tad de co­la­bo­rar con los in­ves­ti­ga­do­res de se­gu­ri­dad. Sin em­bar­go, to­ma­rá al­gún tiem­po has­ta que esos es­fuer­zos co­mien­cen a te­ner un im­pac­to sig­ni­fi­ca­ti­vo en la ca­li­dad del soft­wa­re re­la­cio­na­do con el au­to­mó­vil.

Has­ta cier­to pun­to, es­to es com­pren­si­ble, por­que las com­pa­ñías au­to­mo­tri­ces son re­la­ti­va­men­te nue­vas en el de­sa­rro­llo de soft­wa­re. Gran­des pro­vee­do­res de soft­wa­re co­mo Mi­cro­soft, Ado­be y Ora­cle si­guen en­con­tran­do y so­lu­cio­nan­do do­ce­nas de fa­llas de se­gu­ri­dad en sus pro­duc­tos ca­da mes, por lo que no es sor­pren­den­te que el soft­wa­re del au­to­mó­vil o las apli­ca­cio­nes mó­vi­les que lo acom­pa­ñan tam­bién ten­gan vul­ne­ra­bi­li­da­des.

Sin em­bar­go, hay cier­ta ur­gen­cia por­que, en com­pa­ra­ción con las compu­tado­ras, los au­to­mó­vi­les son una ame­na­za ma­yor pa­ra la se­gu­ri­dad hu­ma­na. Y de­sa­for­tu­na­da­men­te, los de­fec­tos que se des­cu­bren en el soft­wa­re del au­to­mó­vil son a me­nu­do des­cui­dos de se­gu­ri­dad bá­si­cos que po­drían ha­ber­se evi­ta­do fá­cil­men­te si­guien­do prin­ci­pios de de­sa­rro­llo se­gu­ro bien co­no­ci­dos.

En otro in­ci­den­te re­cien­te, los in­ves­ti­ga­do­res de la fir­ma is­rae­lí Ar-

Newspapers in Spanish

Newspapers from Panama

© PressReader. All rights reserved.