2 millones de clientes de Instantáneas Progresivas pueden estar en riesgo de piratear automóviles

Fue hace apenas dos meses que investigadores de seguridad cibernética israelíes hackearon un dispositivo que se conecta al puerto de diagnóstico de un automóvil y determinaron que podían controlar el vehículo de forma remota desde cualquier parte del mundo. En ese momento, el ataque simulado parecía la versión automotriz de un canario en una mina de carbón. Si los investigadores pudieran violar este dispositivo, ¿quizás otros productos del mercado de accesorios que se conectan a puertos de diagnóstico también serían vulnerables?
En poco tiempo, otra empresa de ciberseguridad ahora informa que encontró fallas graves en un dispositivo utilizado por más de 2 millones de automovilistas.
Investigadores de Digital Bond Labs, con sede en Florida, dicen que han descubierto problemas importantes en un dispositivo que Progressive Insurance usa para medir los hábitos de conducción de los clientes participantes. Mediante la ingeniería inversa del dongle, obtuvieron acceso a una red que permite el control de las funciones críticas del vehículo, como la dirección, el frenado y las entradas del acelerador.

» Lo que encontramos con este dispositivo fue que estaba diseñado sin características de seguridad», dice Dale Peterson, fundador y CEO de Digital Bond Labs, a Autoblog. «Ni siquiera se basaba en prácticas básicas de codificación de seguridad. … Es una casa que no tiene puertas, ventanas ni vallas, con objetos de valor dentro.»
Peterson enfatizó que este no era un caso de investigadores que explotaban una debilidad en la seguridad del dongle; era simplemente que no existía seguridad.
Registro de datos del controlador
Progressive utiliza estos dispositivos como parte de su programa de seguro basado en el uso de instantáneas, que existe desde 2008. El dongle, que se conecta al puerto de diagnóstico OBD-II, recopila datos sobre cuántas millas se conducen, a qué horas del día está en funcionamiento un vehículo y con qué fuerza frena el conductor. A cambio de estos datos del conductor, los conductores prudentes pueden recibir descuentos de hasta el 30 por ciento de sus primas.
Un portavoz de la compañía dijo que Progressive aún no había visto la investigación y está investigando las acusaciones.
«Confiamos en el rendimiento de nuestro dispositivo de instantáneas», dijo un portavoz progresista en una declaración escrita. «Para ser claros, el investigador no pudo controlar ninguna función del vehículo y no tenemos evidencia de que nadie más haya podido hacerlo. Sin embargo, nos tomamos muy en serio la seguridad y tenemos la intención de investigar el asunto a fondo.»
Las crecientes preocupaciones cibernéticas automotrices
Las amenazas cibernéticas se han convertido en una preocupación de toda la industria entre los fabricantes de automóviles. Los analistas de la industria ven cada vez más los ataques a estos dispositivos de terceros como problemas más nefastos que los propios automóviles, porque esencialmente permiten a los piratas informáticos eludir cualquier seguridad que un fabricante de automóviles haya puesto en marcha.
Como informó por primera vez Dark Reading, el investigador de Digital Bond Labs Corey Thuen descubrió que una vez que el dongle progresivo se conecta a la red local del vehículo, no se autentica en la red celular en la que comunica información a Progressive, ni encripta sus mensajes. También dice :» el firmware no está firmado ni validado, y no hay una función de arranque seguro. Además, el dispositivo utiliza el protocolo FTP notoriamente inseguro.»
El dongle para instantáneas proporciona acceso a la misma red que alberga unidades de control electrónico, que controlan docenas de funciones del vehículo, desde implementaciones de bolsas de aire hasta el motor. Una vez dentro de esta red, un hacker podría enviar códigos maliciosos a estos ECUS que anulan las entradas de un conductor y controlan un vehículo.
«Si alguien hackeara la nube Progresiva, podría ir a todos los autos que tienen esto», dijo Peterson. «Podrían enviar cosas a estos dongles y potencialmente hacer algunas cosas realmente malas.»
En noviembre, investigadores de Seguridad cibernética de Argus, con sede en Israel, publicaron información sobre un hackeo de uno de estos dispositivos de terceros. Afirmaron explotar una vulnerabilidad en el Zubie, un dongle que proporciona a los conductores información sobre el viaje, el rendimiento del automóvil y el comportamiento del conductor.
Una vez dentro, los investigadores de Argus desbloquearon las puertas y manipularon las lecturas de los grupos de instrumentos. Dicen que también podrían haber controlado el motor, los frenos y los componentes de dirección del vehículo desde una ubicación remota.
«En el internet de las cosas, esto es solo otro ejemplo de lo que sucede cuando agregas capacidad de comunicación a cosas que normalmente no las tenían», dijo Peterson. «La preocupación es cuando se agregan sin controles de seguridad.»

Deja una respuesta

Tu dirección de correo electrónico no será publicada.