Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
11/07/2014
Kaspersky Lab i IAB Spain, l’associació que representa al sector de publicitat, màrqueting i comunicació digital a Espanya, anuncien el llançament del Primer estudi de cotxes connectats, un treball d’investigació pioner en el món.
El principal objectiu d’este estudi és oferir una perspectiva de la situació del mercat dels automòbils connectats, unint tota la informació disponible, resolent les preguntes freqüents i comprenent l’alta fragmentació existent entre els fabricants. Vicente Díaz, analista sénior de programari maliciós de Kaspersky Lab, ha sigut el responsable d’analitzar, a través d’una prova de concepte, la seguretat d’estos cotxes connectats a Internet.
En un cotxe connectat no es poden obviar qüestions relacionades amb la seguretat en les comunicacions i servicis derivats d’Internet i que s’inclouen en la nova generació d’automòbils “connectats”. No estem parlant ara d’assistència a l’aparcament, sinó d’accés a xarxes socials, correu electrònic, connectivitat amb el telèfon intel·ligent, càlcul de rutes, aplicacions que s’executen en el cotxe, etc. La inclusió d’estes tecnologies implica una sèrie d’avantatges, però també de nous riscos a què l’usuari no havia de fer front fins ara. Per eixe motiu, és necessari analitzar els distints vectors que poden provocar un possible atac o frau i inclús algun incident en el funcionament del vehicle.
La privacitat, les actualitzacions i les aplicacions mòbils dels telèfons intel·ligents per a estos carros poden ser els tres focus d’atac en què es poden centrar els cibercriminals per a realitzar els seus atacs amb èxit. “Els cotxes connectats obrin la porta a amenaces que ja existien en el món del PC i dels telèfons intel·ligents, però adaptades a este nou mitjà. A més, la problemàtica de la privacitat de dades també arriba al segment de l’automòbil amb gegants com Google, que ja han colonitzat alguns dels models de l’informe amb la seua tecnologia de busques. Els riscos que poden patir els usuaris d’estos cotxes connectats van des del robatori de contrasenyes, obertura de portes, accés a servicis remot, localització del cotxe i inclús el control físic del vehicle”, assenyala Díaz.
La prova de concepte realitzada per Kaspersky Lab, basada en l’anàlisi del sistema BMW ConnectedDrive en concret, ha trobat distints vectors d’atac potencials:
Robatori de credencials: el robatori de credencials d’usuari per a accés al portal de BMW, ja siga per mitjà de peix, enregistradors de teclats o enginyeria social, permetria a un tercer accedir a informació de l’usuari i del vehicle. A partir d’ací es podria instal·lar l’aplicació per a mòbil amb estes mateixes credencials que, en cas de tindre activats els servicis remots, podria permetre activar l’obertura de portes per exemple.
Aplicació mòbil: en cas de tindre els servicis d’obertura remota activats, el mòbil es convertix en les claus. Si l’aplicació no està ben assegurada, podria ser un vector d’atac en cas de robatori del telèfon. En este cas, pareix que és possible modificar la base de dades de l’aplicació per a evitar l’autenticació PIN, per la qual cosa un atacant podria evitar-la i activar els servicis remots.
Actualitzacions: el procés d’actualització dels connectors Bluetooth és a partir de la descàrrega d’un arxiu des de la web de BMW que posteriorment instal·larem en el cotxe per mitjà d’un USB. Este arxiu no està xifrat ni firmat, i és possible trobar dins molta informació interna del sistema que s’executa en el vehicle. Açò donaria a un atacant potencial amb accés físic la possibilitat de conéixer l’entorn atacat. També pareix que podria modificar-se l’actualització per a executar codi maliciós.
Comunicacions: algunes funcions es comuniquen amb el SIM intern del vehicle per mitjà de missatges SMS. Estos missatges es poden arribar a desencriptar i enviar fent-se passar per un altre remitent, en funció de l'encriptat de l’operadora. En el pitjor dels casos es podria reemplaçar a BMW per a la comunicació de certs servicis.
L'estudi també inclou una anàlisi de la connectivitat en línia i les aplicacions mòbils dels principals fabricants d’automòbils a Espanya. Així mateix, es desglossa el model de negoci i les futures tendències quant a plataformes de connectivitat en el mercat. Després d’analitzar 21 models de vehicles distints, les principals conclusions de l’informe són:
Alta fragmentació de sistemes operatius, modes de connexió i aplicacions mòbils.
Servicis gratuïts durant un temps limitat. Molts fabricants oferixen una subscripció gratuïta durant un temps determinat.
El problema de la cobertura. Molts dels servicis en línia necessiten de cobertura 3G per a funcionar amb normalitat.
Consum de dades. Este consum pot obligar l’usuari a contractar una tarifa addicional.
Assistents vocals. La majoria dels models la usen ja que és una de les maneres més segures de controlar l’oferta de connectivitat que oferixen els fabricants.
L'estudi va ser elaborat per IAB Spain junt amb Applicantes, Periodismo del Motor.com i Kaspersky Lab.
Kaspersky Lab y IAB Spain, la asociación que representa al sector de publicidad, marketing y comunicación digital en España, anuncian el lanzamiento del Primer Estudio de Coches Conectados, un trabajo de investigación pionero en el mundo.
El principal objetivo de este estudio es ofrecer una perspectiva de la situación del mercado de los autos conectados, aunando toda la información disponible, resolviendo las preguntas frecuentes y comprendiendo la alta fragmentación existente entre los fabricantes. Vicente Díaz, analista senior de malware de Kaspersky Lab, ha sido el responsable de analizar, a través de una prueba de concepto, la seguridad de estos coches conectados a Internet.
En un carro conectado, no se pueden obviar cuestiones relacionadas con la seguridad en las comunicaciones y servicios derivados de Internet y que se incluyen en la nueva generación de autos “conectados”. No estamos hablando ahora de asistencia al aparcamiento, sino de acceso a redes sociales, correo electrónico, conectividad con el smartphone, cálculo de rutas, aplicaciones que se ejecutan en el carro, etc. La inclusión de estas tecnologías implica una serie de ventajas, pero también de nuevos riesgos a los que el usuario no tenía que hacer frente hasta ahora. Por ese motivo, es necesario analizar los distintos vectores que pueden provocar un posible ataque o fraude e incluso algún incidente en el funcionamiento del vehículo.
La privacidad, las actualizaciones y las apps de los smartphones para estos carros pueden ser los tres focos de ataque en los que se pueden centrar los cibercriminales para realizar sus ataques con éxito. “Los coches conectados abren la puerta a amenazas que ya existían en el mundo del PC y de los smartphones, pero adaptadas a este nuevo medio. Además, la problemática de la privacidad de datos también llega al segmento del automóvil con gigantes como Google, que ya han colonizado algunos de los modelos del informe con su tecnología de búsquedas. Los riesgos que pueden sufrir los usuarios de estos coches conectados van desde el robo de contraseñas, apertura de puertas, acceso a servicios remoto, localización del coche e incluso el control físico del vehículo”,señala Díaz.
La prueba de concepto realizada por Kaspersky Lab, basada en el análisis del sistema BMW ConnectedDrive en concreto, ha encontrado distintos vectores de ataque potenciales:
Robo de credenciales: El robo de credenciales de usuario para acceso al portal de BMW, ya sea mediante phishing, keyloggers o ingeniería social, permitiría a un tercero acceder a información del usuario y del vehículo. A partir de aquí se podría instalar la aplicación para móvil con estas mismas credenciales que, en caso de tener activados los servicios remotos, podría permitir activar la apertura de puertas por ejemplo.
Aplicación móvil: En caso de tener los servicios de apertura remota activados el móvil se convierte en las llaves. Si la aplicación no está bien asegurada, podría ser un vector de ataque en caso de robo del teléfono. En este caso, parece que es posible modificar la base de datos de la aplicación para evitar la autenticación PIN, por lo que un atacante podría evitarla y activar los servicios remotos.
Actualizaciones: El proceso de actualización de los drivers bluetooth es a partir de la descarga de un archivo desde la web de BMW que posteriormente instalaremos en el carro mediante un USB. Este archivo no está cifrado ni firmado, y es posible encontrar dentro del mismo mucha información interna del sistema que se ejecuta en el vehículo. Esto daría a un atacante potencial con acceso físico la posibilidad de conocer el entorno atacado. También parece que podría modificarse la actualización para ejecutar código malicioso.
Comunicaciones: Algunas funciones se comunican con la SIM interna del vehículo mediante mensajes SMS. Estos mensajes se pueden llegar a descifrar y enviar haciéndose pasar por otro remitente, en función del cifrado de la operadora. En el peor de los casos se podría reemplazar a BMW para la comunicación de ciertos servicios.
El estudio también incluye un análisis de la conectividad online y las apps de los principales fabricantes de automóviles en España. Asimismo, se desglosa el modelo de negocio y las futuras tendencias en cuanto a plataformas de conectividad en el mercado. Las principales concusiones, tras analizar 21 modelos de vehículos distintos, las principales conclusiones del informe:
Alta fragmentación: de sistemas operativos, modos de conexión y apps.
Servicios gratuitos durante un tiempo limitado: muchos fabricantes ofrecen una suscripción gratuita durante un tiempo determinado.
El problema de la cobertura: muchos de los servicios online necesitan de cobertura 3G para funcionar con normalidad.
Consumo de datos: este consumo puede obligar al usuario a contratar una tarifa adicional.
Asistentes vocales: la mayoría de los modelos la usan ya que es una de las maneras más seguras de controlar la oferta de conectividad que ofrecen los fabricantes.
El estudio fue elaborado por IAB Spain junto con Applicantes, Periodismo del Motor.com, y Kaspersky Lab.