Los fallos API se repiten en coches BMW, Ford, Honda…

Sí; la idea es que los vehículos del futuro se comuniquen entre sí y con su entorno cada vez más inteligente a través de tecnologías que se engloban en el concepto general de integración de infraestructura de vehículos. Esto significa que los vehículos no solo se comunicarán con sus fabricantes…

Sino también con los coches que circulan a su lado, los semáforos, las señales de tráfico y los sensores de la calle. Los coches se convertirán en auténticos centros de datos y deberán estar protegidos acorde a ello. Y eso ha llegado ya a estos momentos, puesto que se han descubierto las vulnerabilidades API en un total de hasta 16 marcas.

Nos referimos así a que un equipo de investigadores liderado por Sam Curry ha descubierto fallos en las APIs que afectan a marcas automovilísticas tan reconocidas como BMW, Ferrari, Ford, Honda, Hyundai, Jaguar, KIA, Mercedes-Benz. Nissan, Porsche o Toyota, entre otras. Unas vulnerabilidades que también afectan a marcas de tecnología de vehículos Spireon y Reviver y al servicio de transmisión SiriusXM.

Qué ha ocurrido

Lo que conocemos es que esta serie de fallos han terminado por abarcar una amplia gama de vehículos, desde las que dan acceso a los sistemas internos de la empresa y la información del usuario hasta las debilidades que permitirían a un atacante enviar comandos de forma remota para lograr la ejecución del código.

Según el estudio, los dispositivos con radio dentro de los automóviles que se comunican a corta distancia con un llavero para desbloquear el encendido del coche y que permite el arranque, llevan implementado un sistema de cifrado de Texas Instruments llamado DST80.

Los hackers son capaces de deslizar un dispositivo lector/transmisor RFID Proxmark muy barato (40 euros) que puesto cerca del llavero con el mando a distancia puede obtener suficiente información para obtener su valor criptográfico secreto. Luego sólo tendrían que usar el mismo dispositivo para suplantar la llave una vez dentro del coche y podría arrancar el motor.

Los errores de API más graves se encontraron en BMW y Mercedes, que se vieron afectadas por vulnerabilidades de SSO (inicio de sesión único), lo que permitió a los ciberdelincuentes acceder a los sistemas internos.

En el caso de Mercedes, esto permitía el acceso a múltiples instancias privadas de GitHub, canales de chat internos en Mattermost, servidores, instancias de Jenkins y AWS, y sistemas XENTRY que se conectan a los automóviles de los clientes.

En lo que respecta a BMW, se podía acceder a los portales internos de los concesionarios, consultar los números de identificación (VIN) de cualquier automóvil, y recuperar documentos de ventas con detalles confidenciales del propietario.

La información de los propietarios quedaron al descubierto

Las investigaciones también dicen que los modelos de automóviles afectados incluyen el Toyota Camry, Corolla y RAV4, el Kia Optima, Soul y Rio y el Hyundai I10, I20 e I40.

Como informan desde Reuters, estas vulnerabilidades también podrían haber permitido a los ciberdelincuentes rastrear automóviles en tiempo real, introduciendo riesgos físicos y afectando la privacidad de millones de propietarios de automóviles.

La explotación de otros errores de las APIS permitió a los investigadores acceder a la PII (información de identificación personal) de los propietarios de coches KIA, Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Hyundai, Genesis, BMW, Roll Royce, Ferrari, Ford, Porsche y Toyota.

Además, y sobre todo en el caso de los coches con un elevado precio, se han llegado a revelar información del propietario, algo particularmente peligroso ya que, en algunos casos, los datos incluyen información de ventas, ubicación física y direcciones.