Vídeo: Interpol investiga si un Ferrari fue robado | Control de fronteras: España | Discovery Latinoamérica (De novembre 2024)
El pirateig automobilístic ha tingut molts títols darrerament, tot i que només hi ha hagut un incident documentat (que va ser un treball interior fa cinc anys).
Ara, l'atenció s'ha centrat en els dispositius de cotxe connectats després del mercat que es connecten al port de diagnòstic a bord del vehicle II, també conegut com a dongles OBD-II. Els dispositius són des de fa uns quants anys i permeten als propietaris de vehicles fabricats després del 1996 un port ODB-II afegir connectivitat. Les empreses les ofereixen des de grans asseguradores d’automòbils fins a una desena més o menys d’establiments per a tot, des de supervisar els estils de conducció i l’economia de combustible fins al seguiment d’adolescents mentre estan al volant.
Tall de frens d'una corbeta
Davant d’una conferència de seguretat aquesta setmana, investigadors de la Universitat de Califòrnia a San Diego (UCSD) van revelar com eren capaços de piratejar sense fils a una dongle OBD-II connectada a un Corvette de model tardà. Van enviar missatges SMS a un dispositiu que va encendre els eixugaparabrises del cotxe i va tallar els frens. Mentre que els investigadors van assenyalar que la pirateria dels frens només es pot realitzar a velocitats baixes a causa de la manera com està dissenyat el vehicle, van afegir que l'atac es podia adaptar fàcilment a gairebé qualsevol vehicle modern per assumir components crítics com la direcció o la transmissió.
"Vam adquirir-ne alguns, els va dissenyar inversament, i al llarg del camí vam trobar que tenien un conjunt de deficiències de seguretat", va dir Stefan Savage, un professor de seguretat informàtica de la UCSD que va dirigir el projecte. Els dongles "proporcionen diverses maneres de controlar a distància… controlar gairebé tot el vehicle amb què estaven connectats", va afegir.
Els investigadors de la UCSD van alertar Metromile sobre la vulnerabilitat del dongle el mes de juny, i la companyia va dir que va enviar sense problemes un pegat de seguretat als dispositius. "Ens ho hem pres molt seriosament tan aviat com ens vam assabentar", va dir a CEO de Dan, Metodile, director general de Metromile.
Tot i així, fins i tot després que Metromile va enviar el seu parcel·la de seguretat, milers de dongles eren visibles i seguides piratables, en gran mesura perquè eren utilitzats per la companyia espanyola de gestió de flotes Coordina. En una declaració de la companyia matriu TomTom Telematics, Coordina va dir que va examinar l'atac dels investigadors i va comprovar que només s'aplica a una versió més antiga dels dongles que utilitza la companyia. Ara està en procés de substituir un "nombre limitat" d'aquests dispositius.
La companyia també va assenyalar que el número de telèfon assignat a les targetes SIM dels seus dispositius no és públic i no es pot contactar mitjançant un missatge de text, com en l'atac dels investigadors de la UCSD. Però els investigadors van contrarestar que, fins i tot sense conèixer el número de telèfon de la targeta SIM, els dongles són susceptibles d’atacs de força bruta enviant una barraca de missatges de text.
Si bé els recents accessoris de vehicles de producció han trigat mesos a realitzar un accés físic remot o requerit al vehicle, la vulnerabilitat de seguretat dels dongles OBD-II connectats en núvol es coneix des de fa diversos mesos i sembla ser molt més fàcil de piratejar. I el problema no es limita als productes de dispositius mòbils. Al gener, l'investigador en seguretat Corey Thuen va poder piratejar el dispositiu Snapshot de Progressive, mentre que investigadors de la firma de ciberseguretat Argus van trobar defectes de seguretat amb el dispositiu Zubie OBD-II.
Els investigadors van assenyalar que els possibles accessos no es limiten a la Corvette usada en les seves proves i que podrien segrestar la direcció o els frens de gairebé qualsevol vehicle modern amb un dispositiu mòbil connectat al seu guionet. "No és només aquest cotxe el que sigui vulnerable", va dir l'investigador de la UCSD Karl Koscher.
Igual que els cotxes connectats de fabricants d'automòbils, encara no hi ha hagut cap document maliciós documentat d'un vehicle amb un dongle OBD-II. Però els investigadors creuen que l’amenaça és real i remarquen que, a diferència de la connectivitat dels cotxes de producció, no hi ha cap supervisió governamental per als dispositius de postvenda.
"En tenim molts que ja són al mercat", va afegir Savage. "Tenint en compte que hem vist una explotació remota completa i aquestes coses no estan regulades de cap manera i el seu ús està creixent… Crec que és una avaluació justa que hi haurà problemes en altres llocs".
"Penseu dues vegades en el que connecteu al cotxe", va advertir Koscher. "És difícil per al consumidor habitual que sàpiga que el seu dispositiu és de confiança o no, però és una cosa que hauria de pensar en aquest moment. Això m'exposa a més risc?"
És una pregunta que els consumidors porten fa anys, i els conductors que vulguin connectar el seu cotxe al núvol mitjançant un dongle OBD-II ara també ho hauran de fer.