Los vehculos conectados son ya una realidad pero, son seguros?
Los vehculos conectados ya son una
realidad pero, son seguros? La privacidad, las actualizaciones y las apps de los smartphones para estos autos pueden ser tres vectores en los que se pueden centrar los cibercriminales para lanzar sus ataques
Kaspersky Lab y IAB Spain, la asociacin que representa al sector de publicidad, marketing y comunicacin digital en Espaa, anuncian el lanzamiento del Primer Estudio de Coches Conectados, un trabajo de investigacin pionero en el mundo.
El principal objetivo de este estudio es ofrecer una perspectiva de la situacin del mercado de los autos conectados, aunando toda la informacin disponible, resolviendo las preguntas frecuentes y comprendiendo la alta fragmentacin existente entre los fabricantes. Vicente Daz, analista senior de malware de Kaspersky Lab, ha sido el responsable de analizar, a travs de una prueba de concepto, la seguridad de estos coches conectados a Internet.
En un carro conectado, no se pueden obviar cuestiones relacionadas con la seguridad en las comunicaciones y servicios derivados de Internet y que se incluyen en la nueva generacin de autos conectados. No estamos hablando ahora de asistencia al aparcamiento, sino de acceso a redes sociales, correo electrnico, conectividad con el smartphone, clculo de rutas, aplicaciones que se ejecutan en el carro, etc. La inclusin de estas tecnologas implica una serie de ventajas, pero tambin de nuevos riesgos a los que el usuario no tena que hacer frente hasta ahora. Por ese motivo, es necesario analizar los distintos vectores que pueden provocar un posible ataque o fraude e incluso algn incidente en el funcionamiento del vehculo.
La privacidad, las actualizaciones y las apps de los smartphones para estos carros pueden ser los tres focos de ataque en los que se pueden centrar los cibercriminales para realizar sus ataques con xito. Los coches conectados abren la puerta a amenazas que ya existan en el mundo del PC y de los smartphones, pero adaptadas a este nuevo medio. Adems, la problemtica de la privacidad de datos tambin llega al segmento del automvil con gigantes como Google, que ya han colonizado algunos de los modelos del informe con su tecnologa de bsquedas. Los riesgos que pueden sufrir los usuarios de estos coches conectados van desde el robo de contraseas, apertura de puertas, acceso a servicios remoto, localizacin del coche e incluso el control fsico del vehculo", seala Daz.
La prueba de concepto realizada por Kaspersky Lab, basada en el anlisis del sistema BMW ConnectedDrive en concreto, ha encontrado distintos vectores de ataque potenciales:
- Robo de credenciales: El robo de credenciales de usuario para acceso al portal de BMW, ya sea mediante phishing, keyloggers o ingeniera social, permitira a un tercero acceder a informacin del usuario y del vehculo. A partir de aqu se podra instalar la aplicacin para mvil con estas mismas credenciales que, en caso de tener activados los servicios remotos, podra permitir activar la apertura de puertas por ejemplo.
Los vehculos conectados son ya una realidad pero, son seguros?
- Aplicacin mvil: En caso de tener los servicios de apertura remota activados el mvil se convierte en las llaves. Si la aplicacin no est bien asegurada, podra ser un vector de ataque en caso de robo del telfono. En este caso, parece que es posible modificar la base de datos de la aplicacin para evitar la autenticacin PIN, por lo que un atacante podra evitarla y activar los servicios remotos.
- Actualizaciones. El proceso de actualizacin de los drivers bluetooth es a partir de la descarga de un archivo desde la web de BMW que posteriormente instalaremos en el carro mediante un USB. Este archivo no est cifrado ni firmado, y es posible encontrar dentro del mismo mucha informacin interna del sistema que se ejecuta en el vehculo. Esto dara a un atacante potencial con acceso fsico la posibilidad de conocer el entorno atacado. Tambin parece que podra modificarse la actualizacin para ejecutar cdigo malicioso.
- Comunicaciones: Algunas funciones se comunican con la SIM interna del vehculo mediante mensajes SMS. Estos mensajes se pueden llegar a descifrar y enviar hacindose pasar por otro remitente, en funcin del cifrado de la operadora. En el peor de los casos se podra reemplazar a BMW para la comunicacin de ciertos servicios.
El estudio tambin incluye un anlisis de la conectividad online y las apps de los principales fabricantes de automviles en Espaa. Asimismo, se desglosa el modelo de negocio y las futuras tendencias en cuanto a plataformas de conectividad en el mercado. Las principales concusiones, tras analizar 21 modelos de vehculos distintos, las principales conclusiones del informe:
Alta fragmentacin: de sistemas operativos, modos de conexin y apps. Servicios gratuitos durante un tiempo limitado: muchos fabricantes ofrecen una suscripcin gratuita durante un tiempo determinado. El problema de la cobertura: muchos de los servicios online necesitan de cobertura 3G para funcionar con normalidad. Consumo de datos: este consumo puede obligar al usuario a contratar una tarifa adicional. Asistentes vocales: la mayora de los modelos la usan ya que es una de las maneras ms seguras de controlar la oferta de conectividad que ofrecen los fabricantes.
El estudio fue elaborado por IAB Spain junto con Applicantes, Periodismo del Motor.com, y Kaspersky Lab.
Acerca de IAB Espaa
IAB Espaa (Interactive Bureau Adverstising) es la asociacin espaola de empresas de publicidad, marketing y comunicacin digital. Con ms de 200 miembros, representa el 95% del sector en Espaa y es la nica asociacin que incluye a las agencias de medios, agencias digitales, anunciantes, sitios web, redes sociales, blogs, anuncios de redes, navegadores, consultores, TV, radio, editoriales, marketing por correo electrnico, mvil, proveedores de TI, sealizacin digital, ideas, asociaciones, etc. Su objetivo principal es promover el mercado digital en Espaa. IAB Espaa forma parte de la asociacin internacional de IAB de trabajo en todo el mundo. Obtenga ms informacin en http://www.iabspain.net
Los vehculos conectados son ya una realidad pero, son seguros?
Acerca de Kaspersky Lab
Kaspersky Lab es el proveedor privado de soluciones para proteccin de endpoints ms grande del mundo. La empresa se sita entre las cuatro mejores del mundo como proveedora de soluciones de seguridad para usuarios endpoint*. A lo largo de sus ms de 16 aos de historia, Kaspersky Lab se ha conservado como innovadora en seguridad de TI y ofrece soluciones de seguridad digital efectivas para las grandes empresas, PyMEs y consumidores. Con su compaa tenedora registrada en el Reino Unido, Kaspersky Lab opera en casi 200 pases y territorios de todo el mundo, ofreciendo proteccin a ms de 300 millones de usuarios en el mundo. Ms informacin en http://latam.kaspersky.com
* La compaa ha sido calificada cuarta en la clasificacin de IDC Ingresos Mundiales por concepto de Seguridad para Endpoint por Fabricante, 2012. La calificacin fue publicada en el informe de IDC "Worldwide Endpoint Security 2013-2017 Forecast and 2012 Vendor Shares" (IDC #242618, agosto, 2013). El informe clasific a los fabricantes de software de acuerdo con los ingresos procedentes de la venta de soluciones de seguridad para endpoint en el ao 2012.