Un error en un sistema de alarma conectados expuso a vehículos al hacking remoto

Un error en un sistema de alarma conectados expuso a vehículos al hacking remoto

Un error que permitió que dos investigadores obtuvieran acceso a los sistemas back-end de un popular sistema de administración de vehículos conectado a Internet podría haberle dado a un pirata informático todo lo necesario para rastrear la ubicación del vehículo, robar información del usuario e incluso apagar el motor.

En una revelación esta semana, los investigadores Vangelis Stykas y George Lavdanis detallaron un error en un servidor mal configurado operado por Calamp, una compañía de telemática que proporciona seguridad y rastreo de vehículos, lo que les dio "acceso directo a la mayoría de sus bases de datos de producción".

El haking de coches y otros vehículos se ha convertido en un foco importante en la comunidad de seguridad en los últimos años, a medida que más vehículos se conectan a Internet. Pero si bien es conveniente para controlar su automóvil desde su teléfono, también se abren nuevos puntos para el ataque, lo que podría tener consecuencias en el mundo real.

Puede que ni siquiera te des cuenta de que eres un usuario de Calamp. Muchas aplicaciones, incluida la aplicación de seguimiento de vehículos Viper SmartStart, que permite a los usuarios localizar, iniciar y controlar su automóvil desde su teléfono, se conectan al mundo exterior utilizando un módem Calamp para sus servidores basados en la nube.

Los investigadores descubrieron que la aplicación móvil Viper, aunque segura, se conectaba a dos servidores diferentes, uno utilizado por Viper y otro ejecutado por Calamp.

Usando las mismas credenciales que la aplicación, los investigadores también pudieron iniciar sesión y obtener acceso completo al servidor de Calamp, dijeron los investigadores en su descripción.

"Podrías explotarlo fácilmente y ya que teníamos acceso completo a la base de datos", dijo Stykas en un correo electrónico. "Podríamos hacer muchas cosas, casi cualquier escenario en el que pudiéramos pensar fue desastroso, como robar vehículos en masa o apagar el vehículo a través del botón de pánico cuando se usa a alta velocidad", dijo.

Al consultar la base de datos, Stykas dijo que era posible encontrar un automóvil buscando las coordenadas de latitud y longitud cercanas, restableciendo la contraseña, desbloqueando la puerta del lado del conductor, arrancando el motor y alejándose.

Calamp-panel

Los investigadores dijeron que podían rastrear el historial de ubicación de cada vehículo en la base de datos, aunque el usuario que había iniciado sesión tenía permisos limitados, principalmente de solo lectura. También podían ver nombres de usuario y contraseñas enmascaradas, pero no tenían forma de exportar los datos.

El error se corrigió después de que los investigadores se pusieron en contacto con la empresa.

Un portavoz de Calamp dijo que parcheó el defecto y continúa investigando.

"Calamp se toma muy en serio el tema de la seguridad de TI y de los datos. Una vez que recibimos el informe de fallos, nuestro equipo investigó y desarrolló rápidamente un parche para abordarlo. Creemos que este asunto se resolvió sin problemas", dijo el portavoz.

Desde entonces Calamp ha agregado una nueva página de informes de fallos después de la divulgación.

Stykas dijo que no estaba seguro de cuántas empresas o vehículos se vieron afectados por el error del servidor. Calamp dice en su sitio que maneja activamente más de 7 millones de dispositivos.

No es el primer caso de hacking de vehículos que hemos visto

En 2016, los piratas informáticos tomaron el control total de los frenos en un Jeep Cherokee, lo que causó controversia después de probar el hackeo en una carretera. Esa investigación abrió en gran medida las compuertas a un nuevo enfoque en el hacking de automóviles. El año pasado, un fallo no compatible con la mayoría de los automóviles modernos puso a los conductores en riesgo debido a una vulnerabilidad que podría desactivar las características de seguridad, como apagar el airbag.

Los sistemas de infoentretenimiento son un objetivo principal para los piratas informáticos, que pueden ser dirigidos a grandes distancias utilizando la red móvil.

Read more