Volkswagen ha encontrado propensos a las vulnerabilidades del coche-piratería, un informe detallado reveló recientemente Computest. que los investigadores desenterraron los sistemas IVI (En el vehículo de información y entretenimiento) en algunos modelos de Volkswagen son vulnerables a la piratería informática remota. Estas vulnerabilidades podrían también dar lugar al compromiso de otros sistemas críticos de automóviles.
Detalles técnicos sobre la Investigación
Más particularmente, Thijs investigadores Alkemade y Daan Keuper descubierto la vulnerabilidad en Golf GTE Volkswagen y el Audi3 Sportback e-tron. La falla podría permitir a los hackers tomar el control de las funciones críticas en algunos casos. Las funciones incluyen girar el micrófono del coche encendido y apagado, alistar el micrófono para escuchar las conversaciones del conductor, y obtener el acceso al historial de conversaciones y la libreta de direcciones del automóvil. Además de eso, los investigadores dijeron que los atacantes también podrían rastrear el coche a través de su sistema de navegación.
Un número creciente de automóviles disponen de una conexión a Internet, y algunos coches incluso tienen dos conexiones celulares a la vez, escribieron los investigadores. Esta conexión puede ser usado por ejemplo por el sistema IVI para obtener información, tales como datos de mapas, o para ofrecer funcionalidades como un navegador de Internet o de un punto de acceso Wi-Fi o para dar a los propietarios la posibilidad de controlar algunas funciones a través de una aplicación móvil.
Por su informe, los investigadores se centraron específicamente en los vectores de ataque que se podrían accionar a través de Internet y sin interacción del usuario. El objetivo que ha inspirado la investigación era ver si el comportamiento de conducción o de otros componentes críticos de seguridad en el coche podrían ser influenciados. En otras palabras, los investigadores querían acceder al bus CAN de alta velocidad, que conecta componentes como los frenos, volante y el motor.
La investigación se inició con un Volkswagen Golf GTE, de 2015, con la aplicación de coches-Net:
Este coche tiene un sistema IVI fabricado por Harman, se hace referencia como la plataforma de información y entretenimiento modular (MIB). Nuestro modelo estaba equipado con la versión más reciente (versión 2) de esta plataforma, que tenía varias mejoras a la versión anterior (como Apple carplay). Importante tener en cuenta es que nuestro modelo no tenía una bandeja de la tarjeta SIM por separado. Asumimos que la conexión celular utiliza una SIM integrada, dentro del sistema IVI, pero esta hipótesis sería más tarde llegar a ser no válida.
Podemos poner en peligro de forma remota el sistema MIB IVI y desde allí enviar mensajes CAN arbitrarias en el bus CAN IVI. Como resultado, podemos controlar la pantalla central, altavoces, y el micrófono. Este es un nivel de acceso que ningún atacante debe ser capaz de lograr.
El siguiente paso de la investigación habría sido intentar tomar el control de los componentes críticos de seguridad del automóvil, tal como el sistema de frenado y aceleración del vehículo.
Sin embargo, después de una cuidadosa consideración, los dos investigadores decidieron interrumpir su en este momento, ya que esto sería potencialmente comprometer la propiedad intelectual del fabricante y potencialmente romper la ley.
Respuesta de Volkswagen a la vulnerabilidad de divulgación
Desde Volkswagen no contaba con una política de divulgación responsable aparecido en su página web, los investigadores informaron de los defectos a abogado externo de Volkswagen en julio 2017. Un encuentro real con la compañía también produjo el próximo mes, Agosto.
Esto es lo que los investigadores dijo en una oracion:
Durante nuestra reunión con Volkswagen, tuvimos la impresión de que la vulnerabilidad reportada y, especialmente, nuestro enfoque todavía no se conocía. Entendimos en nuestra reunión con Volkswagen que, a pesar de ser utilizado en decenas de millones de vehículos en todo el mundo, este sistema IVI específica no se sometió a una prueba formal de seguridad y la vulnerabilidad era todavía desconocido para ellos. Sin embargo, en su comentario sobre este papel Volkswagen afirmó que ellos ya sabían acerca de esta vulnerabilidad.
Volkswagen miró a los defectos, y dijo que no iba a publicar una declaración pública, sino que más bien revisar la investigación para comprobar sus declaraciones. La compañía hizo revisar el trabajo de investigación, y la propia revisión se completó en febrero, 2018. “En abril 2018, justo antes de que el documento fue lanzado al público, Volkswagen nos proporcionó una carta que confirma las vulnerabilidades y menciona que se han corregido en una actualización de software para el sistema de información y entretenimiento. Esto significa que los coches producidos ya que esta actualización no se ven afectados por las vulnerabilidades que encontramos,” los investigadores llegaron a la conclusión.
Finalmente, se debe una vez más señalar que los modelos de automóviles eran de hackeados 2015. Si, por casualidad, el propietario de un Audi o Volkswagen a partir de ese año, debe ponerse en contacto con su concesionario para recibir información acerca de la actualización de software.