Durante los últimos años, los autos han comenzado a conectarse activamente a Internet. La conectividad incluye no sólo sus sistemas de información y entretenimiento, sino también sistemas esenciales del vehículo, como cerraduras de puertas y encendido, que ahora están disponibles en línea. Con la ayuda de aplicaciones móviles, ahora es posible obtener las coordenadas de ubicación del vehículo, así como su ruta, y abrir puertas, arrancar el motor y controlar dispositivos adicionales en el automóvil. Por un lado, estas son funciones extremadamente útiles. Por otro, ¿cómo aseguran los fabricantes estas aplicaciones contra el riesgo de ataques cibernéticos?
Para averiguar esto, los investigadores de Kaspersky Lab han probado siete aplicaciones para el control a distancia de automóviles que han sido desarrolladas por algunos de los principales fabricantes y que, según las estadísticas de Google Play, han sido descargadas decenas de miles de veces y, en algunos casos, hasta cinco millones de veces. La investigación descubrió que cada una de las aplicaciones examinadas contenía varios problemas de seguridad.
La lista de los problemas de seguridad descubiertos incluye:
- No hay defensa contra la ingeniería inversa de la aplicación. Como resultado, usuarios malintencionados pueden entender cómo funciona la aplicación y buscar una vulnerabilidad que les permita obtener acceso a la infraestructura del servidor o al sistema multimedios del automóvil.
- No hay verificación de la integridad del código, lo cual es importante porque permite a los delincuentes incorporar su propio código en la aplicación y reemplazar el programa original por uno falso.
- No hay técnicas para detectar un rooting. Los permisos de root le dan a los troyanos casi infinitas posibilidades y dejan indefensa a la aplicación.
- Falta de protección contra las técnicas de superposición de aplicaciones. Esto ayuda a las aplicaciones maliciosas a mostrar ventanas de phishing y a robar las credenciales de los usuarios.
- Almacenamiento de inicios de sesión y contraseñas en texto sin formato. Aprovechando esta debilidad, un criminal puede robar los datos de los usuarios con relativa facilidad.
Después de un ataque exitoso, un atacante puede ganar control sobre el automóvil, desbloquear las puertas, apagar la alarma de seguridad y, teóricamente, robar el vehículo.
En cada caso, el vector de ataque requeriría algunos preparativos adicionales, como el de tentar a los propietarios de las aplicaciones a que instalen apps maliciosas especialmente diseñadas que hagan rooteo en el dispositivo y obtengan acceso a la aplicación del automóvil. Sin embargo, como han concluido los expertos de Kaspersky Lab después de investigar otras aplicaciones maliciosas dirigidas a robar credenciales en las transacciones bancarias efectuadas en línea y otra información importante, es poco probable que esto sea un problema para criminales con experiencia en técnicas de ingeniería social si decidieran salir a la caza de propietarios de automóviles conectados.
“La conclusión principal de nuestra investigación es que, en su estado actual, las aplicaciones para autos conectados no están preparadas para soportar ataques de malware. Al pensar en la seguridad del automóvil conectado, no sólo debe considerarse la seguridad de la infraestructura del lado del servidor. Esperamos que los fabricantes de automóviles tendrán que ir por el mismo camino que han recorrido los bancos con sus aplicaciones. Inicialmente, las aplicaciones para la banca en línea no tenían todas las características de seguridad enumeradas en nuestra investigación. Ahora, después de varios casos de ataques contra aplicaciones bancarias, muchos bancos han mejorado la seguridad de sus productos. Por suerte, todavía no hemos detectado ningún caso de ataque contra aplicaciones para automóviles, lo que significa que los vendedores de autos todavía tienen tiempo para hacer las cosas bien. Cuánto tiempo tienen exactamente, se desconoce. Los troyanos modernos son muy flexibles, un día pueden actuar como adware normal, y al día siguiente pueden bajar fácilmente una nueva configuración que hace posible que se dirijan a nuevas aplicaciones. La superficie de ataque es realmente muy grande aquí”, dijo Victor Chebyshev, experto en seguridad de Kaspersky Lab.
Los investigadores de Kaspersky Lab aconsejan a los usuarios de aplicaciones para autos conectados que sigan estas medidas para proteger sus automóviles y sus datos privados contra posibles ataques cibernéticos:
- No haga root en su dispositivo Android, ya que esto abrirá posibilidades casi ilimitadas a las aplicaciones maliciosas
- Desactive la posibilidad de instalar aplicaciones de fuentes que no sean las de las tiendas de aplicaciones oficiales
- Mantenga actualizada la versión del sistema operativo de su dispositivo para reducir las vulnerabilidades del software y reducir el riesgo de ataque
- Instale una solución de seguridad probada para proteger su dispositivo contra ataques cibernéticos.
Para obtener más información sobre las amenazas a los automóviles conectados, lea el artículo disponible en Securelist: https://securelist.com/analysis/publications/77576/mobile-apps-and-stealing-a-connected-car