¿Quién puede controlar su auto sin que usted lo sepa?

¿Quién puede controlar su auto sin que usted lo sepa?

La conducción autónoma y los vehículos conectados son tendencias que facilitan manejar en las vías, pero también son opciones perfectas para el robo de automóviles.

Kaspersky Lab señala que durante los últimos años, los autos han comenzado a conectarse de forma constante a Internet. La conectividad no incluye solamente sistemas de información y entretenimiento, sino también sistemas esenciales del vehículo, como cerraduras de puertas y encendido que ahora están disponibles en línea. A través de aplicaciones móviles, es posible obtener las coordenadas de ubicación del vehículo, así como su ruta, abrir puertas, arrancar el motor y controlar dispositivos adicionales en el automóvil. Ante esto, podemos afirmar que son funciones útiles, pero ¿cómo aseguran los fabricantes que estas aplicaciones pueden salir bien libradas de ataques cibernéticos?

Para encontrar la respuesta, los investigadores de Kaspersky Lab han probado siete aplicaciones para el control a distancia de automóviles que han sido desarrolladas por algunos de los principales fabricantes y que, según las estadísticas de Google Play, han sido descargadas hasta cinco millones de veces. La investigación reveló que cada una de las aplicaciones examinadas contenía varios problemas de seguridad.

Seguridad vehículos conectados IoT 02262017 not01

 

Dentro de la lista de problemas de seguridad, se encuentran:

• No hay defensa contra la ingeniería inversa de la aplicación. Esto significa que usuarios malintencionados pueden entender cómo funciona la app y buscar una vulnerabilidad que les permita obtener acceso a la infraestructura del servidor o al sistema multimedios del automóvil.

• No hay verificación de la integridad del código, permitiendo a los delincuentes incorporar su propio código en la aplicación y reemplazar el programa original por uno falso.

• No hay técnicas para detectar un rooting. Los permisos de root le dan a los troyanos innumerables posibilidades, dejando indefensa a la aplicación.

• Existe una falta de protección contra las técnicas de superposición de aplicaciones. Esto ayuda a las aplicaciones maliciosas a mostrar ventanas de phishing y a robar las credenciales de los usuarios.

• Almacenamiento de inicios de sesión y contraseñas en texto sin formato. Con esta debilidad, un criminal puede robar los datos de los usuarios con relativa facilidad.
Lo que pasaría luego de un ataque exitoso, es que el cibercriminal gane control sobre el automóvil, pueda desbloquear las puertas, apagar la alarma de seguridad y, en teoría, robar el vehículo.

Para que un ataque funcione, se requieren algunos preparativos adicionales; como el de tentar a los propietarios de los vehículos a que instalen apps maliciosas especialmente diseñadas para que hagan rooteo en el dispositivo y obtengan acceso a la aplicación del automóvil. No obstante, como han concluido los expertos de Kaspersky Lab, es poco probable que esto sea un problema para criminales con experiencia en técnicas de ingeniería social si decidieran salir a la caza de propietarios de automóviles conectados.

"La conclusión principal de nuestra investigación es que, en su estado actual, las aplicaciones para autos conectados no están preparadas para soportar ataques de malware. Al pensar en la seguridad del automóvil conectado, no sólo debe considerarse la seguridad de la infraestructura del lado del servidor. Esperamos que los fabricantes de automóviles tengan que ir por el mismo camino que han recorrido los bancos con sus aplicaciones. Inicialmente, las apps para la banca en línea no tenían todas las características de seguridad enumeradas en nuestra investigación. Ahora, después de varios casos de ataques contra ellas, muchos bancos han mejorado la seguridad de sus productos. Por suerte, todavía no hemos detectado ningún caso de ataque contra aplicaciones para automóviles, lo que significa que los vendedores de autos todavía tienen tiempo para hacer las cosas bien. Cuánto tiempo tienen exactamente, se desconoce. Los troyanos modernos son muy flexibles, un día pueden actuar como adware normal, y al día siguiente pueden bajar fácilmente una nueva configuración que hace posible que se dirijan a nuevas aplicaciones. La superficie de ataque es realmente muy grande aquí", aseguró Victor Chebyshev, experto en seguridad de Kaspersky Lab.

Para los usuarios de aplicaciones de autos conectados, Kaspersky les aconseja seguir estas medidas de protección para automóviles y datos privados:

• No hacer root en los dispositivos Android, pues esto abrirá posibilidades casi ilimitadas a las aplicaciones maliciosas.

• Desactivar la posibilidad de que se instalen apps que no sean las de las tiendas de aplicaciones oficiales.

• Mantener actualizada la versión del sistema operativo del dispositivo para reducir las vulnerabilidades del software y reducir el riesgo de ataque.

• Instalar una solución de seguridad probada para proteger su dispositivo contra ataques cibernéticos.

e-max.it: your social media marketing partner
Read 2080 times
Corporación Colombia Digital

@colombiadigital

La Corporación Colombia Digital (CCD) es una organización dedicada a promover el uso y apropiación de las tecnologías de información y las comunicaciones, en beneficio del desarrollo social y económico.