Ferrari, BMW, Rolls Royce, Porsche y más solucionan vulnerabilidades que otorgan capacidades de adquisición de automóviles

Algunas de las marcas de automóviles más grandes del mundo han parcheado docenas de vulnerabilidades, algunas de las cuales podrían haber permitido que los automóviles fueran secuestrados por completo, según un equipo de investigadores de seguridad.

Se encontraron errores en vehículos Mercedes-Benz, BMW, Rolls Royce, Ferrari, Ford, Porsche, Toyota, Jaguar y Land Rover, así como en la empresa de rastreo GPS Spireon y la empresa de matrículas digitales Reviver.

Los hallazgos se basan en problemas descubiertos en noviembre por el ingeniero de seguridad del personal de Yuga Labs, Sam Curry, quien llamó la atención hace dos meses por encontrar vulnerabilidades en los vehículos Hyundai y Genesis, así como problemas relacionados con SiriusXM que afectan a los vehículos Nissan, Infiniti, Honda y Acura.

Curry le dijo a The Record que los últimos hallazgos son una extensión de su trabajo anterior sobre marcas de automóviles.

En una extensa publicación de blog, Curry y un equipo de investigadores explicaron que las vulnerabilidades iban desde vulnerabilidades que brindaban acceso generalizado a los sistemas internos de la empresa y datos de los clientes hasta otras que permitirían a un atacante enviar comandos a un vehículo.

“En el momento de la divulgación del año pasado, no se solucionó, por lo que hemos divulgado las soluciones en esta publicación de blog. Hablamos con todas las empresas afectadas, verificamos sus soluciones y les dijimos que finalmente divulgaremos a través de los tradicionales 90 días. estándares de divulgación”, dijo Curry.

“La seguridad automotriz es un problema muy difícil y hay mucha gente inteligente trabajando en este espacio, pero estas empresas son tan grandes que aún tendrán vulnerabilidades tradicionales. El problema con las compañías de automóviles es que tienen una gran computadora de 5,000 libras sobre ruedas con la que un consumidor puede interactuar con su teléfono celular. Esto se convierte en un problema realmente grave cuando las vulnerabilidades tradicionales pueden usarse para dañar o rastrear a los conductores.

Curry confirmó que todas las empresas mencionadas en la publicación del blog corrigieron las vulnerabilidades en una semana y respondieron muy bien. Su equipo trabajó en estrecha colaboración con todas las empresas y habló por teléfono con algunas para explicar mejor los problemas.

Solo Porsche, Mercedes-Benz y Spireon respondieron a las solicitudes de comentarios de The Record.

En lo que respecta a los vehículos Porsche, el equipo de Curry dijo que descubrieron que podían enviar y recibir la ubicación del vehículo, enviar comandos del vehículo y recuperar información del cliente a través de vulnerabilidades que afectan el servicio telemático del vehículo.

Un portavoz de Porsche dijo que “supervisan constantemente” sus sistemas y “toman en serio cualquier indicio de vulnerabilidad”.

“Nuestra principal prioridad es evitar el acceso no autorizado a los sistemas de nuestros vehículos por parte de terceros”, dijo el portavoz.

Un portavoz de Mercedes-Benz dijo que su trabajo con los investigadores es una parte importante de sus esfuerzos para “crear productos y servicios mejores y más seguros a través de nuestro programa de divulgación de vulnerabilidades”.

Los investigadores dicen que accedieron a cientos de aplicaciones internas de misión crítica en Mercedes-Benz a través de una solución de inicio de sesión único mal configurada.

El error les dio acceso a varias instancias de GitHub de la empresa, la herramienta de chat interna de toda la empresa, así como la posibilidad de unirse a casi cualquier canal.

También tienen acceso a varias otras herramientas de desarrollo utilizadas internamente, así como a interfaces de programación de aplicaciones relacionadas con vehículos. A través de los errores, obtuvieron acceso a la información personal de empleados y clientes y acceso masivo a la cuenta.

Un portavoz de Mercedes-Benz confirmó que Curry se había puesto en contacto con ellos sobre una “gestión de autorización configurada incorrectamente” y dijo que los problemas se habían solucionado.

“La vulnerabilidad identificada no afecta la seguridad de nuestros vehículos”, dijo el vocero.

Spireon tuvo problemas similares, donde Curry y su equipo obtuvieron acceso de administrador completo a un panel de administración de toda la empresa capaz de enviar comandos arbitrarios a aproximadamente 15,5 millones de vehículos.

Incluye comandos que permitirían a un atacante desbloquear un automóvil, encender el motor, desactivar el motor de arranque, leer la ubicación de cualquier dispositivo y más.

Los errores también permitieron a los atacantes acceder a las cuentas de los usuarios y “tomar el control por completo de cualquier flota”.

“Esto nos permitirá rastrear y apagar los motores de arranque de la policía, las ambulancias y los vehículos encargados de hacer cumplir la ley en muchas ciudades grandes diferentes y enviar comandos a esos vehículos, por ejemplo, navegar a esta ubicación”, escribió el equipo de Curry.

También obtienen acceso administrativo completo a todos los productos Spireon como GoldStar, LoJack, FleetLocate, NSpire y más.

En total, los errores dieron acceso a 15,5 millones de dispositivos, la mayoría de ellos automóviles, y 1,2 millones de cuentas de usuario.

En un comunicado, Spireon le dijo a The Record que su equipo se reunió con Curry para discutir y revisar las vulnerabilidades.

La compañía “implementó inmediatamente medidas correctivas en la medida necesaria”.

“También hemos tomado medidas proactivas para fortalecer aún más la seguridad en toda nuestra cartera de productos como parte de nuestro compromiso continuo con nuestros clientes como proveedor líder de soluciones telemáticas del mercado de accesorios”, dijo el vocero.

“Spireon se toma muy en serio todos los asuntos de seguridad y utiliza un extenso conjunto de herramientas líder en la industria para monitorear y escanear sus productos y servicios en busca de riesgos de seguridad potenciales nuevos y conocidos”.

Algunos expertos en ciberseguridad están alarmados por los hallazgos de Curry. El CEO de Approov, Ted Miracco, dijo que “es hora de que la industria automotriz adopte un enfoque de ciberseguridad de defensa en profundidad”.

Muchas infracciones recientes han sido habilitadas por un único punto de falla, como la explotación de credenciales de usuario o claves API para desbloquear automóviles, dijo Miracco, y agregó que están “buscando constantemente secretos (incluidas claves API) que están ocultos pero accesibles por aplicaciones automotrices”. tanto en iOS como en Android”.

“A corto plazo, vemos un camino lleno de baches para el sector automotriz en lo que respecta a la ciberseguridad. Los enfoques heredados, como la ofuscación de código, han demostrado ser insuficientes para frustrar los ataques, y se necesita urgentemente seguridad adicional para proteger los vehículos”, dijo.

“A medida que más empresas utilicen dispositivos móviles para desbloquear vehículos, busque un aumento en el robo que sorprenda a los consumidores y repercuta en las compañías de seguros y las fuerzas del orden”.

Jason Kent de Cequence Security dijo que Curry sugiere que los propietarios de automóviles deben asumir la responsabilidad limitando la entrada de información de identificación personal, utilizando la configuración de privacidad más alta en telemática e implementando la autenticación de dos factores. Pero Kent dijo que no debería llegar a esto.

“Los fabricantes de automóviles deben asumir la responsabilidad y configurar de forma segura y probar regularmente sus API mirando externamente como lo haría un atacante. API Security es el vector de ataque número uno por una razón”, dijo Kent.

“Se está haciendo tan poco para probar este tipo de problemas que los investigadores pueden explotar fallas simples y explotar negocios con miles de millones de dólares a su disposición y desarrollar soluciones de las que el público en general pueda aprender. público en quien confiar”.