Poder usar una aplicación en mi teléfono para arrancar mi auto y calentarlo diez minutos antes de salir en una mañana fría es algo realmente importante para “vivir en el futuro”. Me encanta. Pero conectando todo con todo hace abren muchos riesgos potenciales, y los investigadores de seguridad acaban de demostrarlo.
Un equipo de cuatro personas Recientemente descubrió una forma de piratear de forma remota casi todos los automóviles recientes fabricados por Kia con poco más que una conexión móvil. Crearon una aplicación de teléfono que puede escanear la matrícula de cualquier automóvil con la funcionalidad Kia Connect para obtener acceso remoto casi total a ella.
La herramienta funciona en modelos Kia desde 2014, y los autos más nuevos ofrecen cada vez más capacidades. En los últimos modelos de Kia, por ejemplo, la herramienta podía rastrear la ubicación de un automóvil mediante GPS, arrancar y detener el motor, bloquear y desbloquear las puertas, activar las luces y las bocinas e incluso mirar a través de las cámaras de 360 grados del automóvil.
Quizás aún más preocupante es que la herramienta les permitió acceder a información personal sobre el propietario del automóvil: el nombre, el correo electrónico y la contraseña de Kia Connect, junto con un número de teléfono asociado y una dirección física estaban disponibles.
La herramienta expuso estas capacidades e información remotas incluso cuando el propietario del automóvil no estaba suscrito activamente a Kia Connect. La única limitación de la herramienta basada en la aplicación fue que no superó un componente “inmovilizador” que evita que el automóvil sea conducido sin una llave… aunque otros también han derrotado esos sistemas.
Antes de que empiece a entrar en pánico: Sam Curry y sus asociados informaron a Kia sobre la vulnerabilidad en junio, y se solucionó en agosto, mucho antes de que se revelara la vulnerabilidad. publicado en cableado. El sistema y su prueba de concepto se probaron “en la naturaleza” en automóviles utilizados por los amigos y familiares del equipo, así como en vehículos que no se utilizan en agencias y concesionarios de alquiler. Nunca se usó para poner en peligro a personas reales, y la vulnerabilidad ahora ha desaparecido hasta donde los investigadores y Kia pueden decir.
Pero según el informe público de Curry sobre el truco, en realidad es sorprendentemente simple. Este no es el tipo de cosas que una persona promedio podría hacer, pero alguien con un nivel secundario de conocimientos de informática podría penetrar estos sistemas implementados por una corporación que vende millones de automóviles cada año en todo el mundo. (Y se utilizan sistemas similares en la mayoría de los automóviles nuevos que se venden hoy en día, algunos de los cuales ya han sido “pirateados” de manera similar).
La entrevista de Wired con Curry ilustra un ejemplo de pesadilla. “Si alguien te cortaba el paso en el tráfico, podías escanear su matrícula y saber dónde estaba cuando quisieras y entrar en su coche. Cualquiera podría consultar la matrícula de alguien y básicamente acecharlo”.
Éstas son vulnerabilidades que los compradores típicos de automóviles probablemente no conocen y contra las cuales no están preparados para defenderse. La responsabilidad de proteger el coche y a la persona que lo utiliza recae en el fabricante… y parece que no están a la altura de esa responsabilidad.