in

Los piratas informáticos matan de forma remota un jeep en la carretera, conmigo en él

Los piratas informáticos matan de forma remota un jeep en la carretera, conmigo en él

Todo esto es posible solo porque Chrysler, como prácticamente todos los fabricantes de automóviles, está haciendo todo lo posible para convertir el automóvil moderno en un teléfono inteligente. Uconnect, una función de computadora conectada a Internet en cientos de miles de automóviles, SUV y camiones Fiat Chrysler, controla el entretenimiento y la navegación del vehículo, permite llamadas telefónicas e incluso ofrece un punto de acceso Wi-Fi. Y gracias a un elemento vulnerable, que Miller y Valasek no identificarán hasta que hablen con Black Hat, la conexión celular de Uconnect también permite que cualquiera que conozca la dirección IP del automóvil obtenga acceso desde cualquier lugar del país. “Desde la perspectiva de un atacante, es una vulnerabilidad súper agradable”, dice Miller.

Desde ese punto de entrada, el ataque de Miller y Valasek gira hacia un chip adyacente en la unidad principal del automóvil, el hardware para su sistema de entretenimiento, reescribiendo silenciosamente el firmware del chip para plantar su código. Ese firmware reescrito es capaz de enviar comandos a través de la red informática interna del automóvil, conocida como bus CAN, a sus componentes físicos como el motor y las ruedas. Miller y Valasek dicen que el ataque al sistema de entretenimiento parece funcionar en cualquier vehículo Chrysler con Uconnect desde finales de 2013, todo 2014 y principios de 2015. Solo han probado su conjunto completo de hacks físicos, incluidos los dirigidos a los sistemas de transmisión y frenado. , en un Jeep Cherokee, aunque creen que la mayoría de sus ataques podrían modificarse para que funcionen en cualquier vehículo Chrysler con la unidad principal vulnerable Uconnect. Todavía tienen que intentar piratear de forma remota otras marcas y modelos de automóviles.

Después de que los investigadores revelen los detalles de su trabajo en Las Vegas, solo dos cosas evitarán que su herramienta permita una ola de ataques a Jeeps en todo el mundo. Primero, planean dejar fuera la parte del ataque que reescribe el firmware del chip; Los piratas informáticos que sigan sus pasos tendrán que aplicar ingeniería inversa a ese elemento, un proceso que llevó meses a Miller y Valasek. Pero el código que publican permitirá muchas de las travesuras del tablero que me demostraron, así como el rastreo por GPS.

En segundo lugar, Miller y Valasek han estado compartiendo su investigación con Chrysler durante casi nueve meses, lo que le permitió a la compañía lanzar silenciosamente un parche antes de la conferencia Black Hat. El 16 de julio, los propietarios de vehículos con la función Uconnect fueron notificados del parche en una publicación en el sitio web de Chrysler que no ofreció ningún detalle ni reconoció la investigación de Miller y Valasek. “[Fiat Chrysler Automobiles] tiene un programa implementado para probar continuamente los sistemas de los vehículos para identificar vulnerabilidades y desarrollar soluciones ”, se lee en un comunicado que un portavoz de Chrysler envió a WIRED. “FCA se compromete a proporcionar a los clientes las últimas actualizaciones de software para proteger los vehículos contra cualquier vulnerabilidad potencial”.

Desafortunadamente, el parche de Chrysler debe implementarse manualmente a través de una memoria USB o por un mecánico del concesionario. (Descarga la actualización aquí.) Eso significa que muchos — si no la mayoría — de los Jeeps vulnerables probablemente seguirán siendo vulnerables.

Chrysler declaró en respuesta a las preguntas de WIRED que “aprecia” el trabajo de Miller y Valasek. Pero la empresa también parecía recelosa de su decisión de publicar parte de su hazaña. “Bajo ninguna circunstancia la FCA aprueba o cree que sea apropiado revelar ‘información práctica’ que potencialmente alentaría o ayudaría a los piratas informáticos a obtener acceso no autorizado e ilegal a los sistemas de los vehículos”, se lee en la declaración de la compañía. “Apreciamos las contribuciones de los defensores de la ciberseguridad para aumentar la comprensión de la industria sobre las vulnerabilidades potenciales. Sin embargo, advertimos a los defensores de que en la búsqueda de una seguridad pública mejorada, de hecho, no comprometen la seguridad pública “.

Los dos investigadores dicen que incluso si su código facilita que los piratas informáticos malintencionados ataquen Jeeps sin parches, el lanzamiento está justificado porque permite que su trabajo sea probado a través de la revisión por pares. También envía un mensaje: los fabricantes de automóviles deben ser responsables de la seguridad digital de sus vehículos. “Si los consumidores no se dan cuenta de que esto es un problema, deberían y deberían empezar a quejarse con los fabricantes de automóviles”, dice Miller. “Este podría ser el tipo de error de software que probablemente matará a alguien”.

De hecho, Miller y Valasek no son los primeros en piratear un automóvil a través de Internet. En 2011, un equipo de investigadores de la Universidad de Washington y la Universidad de California en San Diego demostró que podían desactivar de forma inalámbrica las cerraduras y los frenos de un sedán. Pero esos académicos adoptaron un enfoque más discreto, manteniendo en secreto la identidad del automóvil pirateado y compartiendo los detalles del exploit solo con los fabricantes de automóviles.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

'Se garantiza que este impulso para las escuelas abiertas fracasará'

‘Se garantiza que este impulso para las escuelas abiertas fracasará’

Cómo atar un nudo de pesca