Sistemas IVI en Volkswagen, Audi Vulnerable Remote Hacking

in spanish •  7 years ago 

Fuente de Imagen

 Se ha encontrado que Volkswagen está sujeto a fallas en la piratería informática, reveló recientemente un informe detallado de Computest. Los investigadores han descubierto que los sistemas IVI (infotainment en el vehículo) en algunos modelos de Volkswagen son vulnerables a los ataques de hackers remotos. Estas vulnerabilidades también podrían llevar al compromiso de otros sistemas automotrices críticos. 

 

Detalles técnicos sobre la investigación

Más específicamente, los investigadores Thijs Alkemade y Daan Keuper desubrieron la vulnerabilidad en Volkswagen Golf y el GTE Audi3 Sportback e-tron. La falla podría permitir que los hackers tomen el control de las funciones críticas en algunos casos. Las características incluyen encender y apagar el micrófono del automóvil, inscribir el micrófono para escuchar las conversaciones del conductor y obtener acceso al historial de conversaciones y a la libreta de direcciones del automóvil. Además de esto, los investigadores dijeron que los atacantes también podrían seguir el automóvil a través de su sistema de navegación.

Cada vez más automóviles tienen conexión a Internet, y algunos autos incluso tienen dos conexiones celulares a la vez, escribieron los investigadores. Esta conexión, por ejemplo, puede ser utilizada por el sistema IVI para obtener información, como datos de mapas, o para ofrecer funciones tales como un navegador de Internet o un punto de acceso Wi-Fi, o para dar a los propietarios la capacidad de controlar ciertas funciones a través de una aplicación móvil.

Para su informe, los investigadores se centraron específicamente en los vectores de ataque que podrían desencadenarse a través de Internet y sin interacción del usuario. El objetivo que inspiró la investigación fue ver si la conducta de manejo u otros componentes críticos de seguridad en el automóvil podrían verse influenciados. En otras palabras, los investigadores querían acceder al bus CAN de alta velocidad, que conecta componentes como frenos, volante y motor.La investigación comenzó con un Volkswagen Golf GTE, a partir de 2015, con la aplicación Car-Net:

Este automóvil tiene un sistema IVI fabricado por Harman, llamado Modular Infotainment Platform (MIB). Nuestro modelo fue equipado con la nueva versión (versión 2) de esta plataforma, que tuvo varias mejoras a la versión anterior (como carplay de Apple). Es importante tener en cuenta que nuestro modelo no tiene una bandeja de tarjeta SIM por separado. Supusimos que la conexión celular usaba una tarjeta SIM integrada, dentro del sistema IVI, pero esta suposición luego sería inválida.
Podemos poner en peligro de forma remota el sistema IVI MIB y enviar mensajes CAN arbitrarios en el bus CAN IVI. Por lo tanto, podemos controlar la pantalla central, los altavoces y el micrófono. Este nivel de acceso que ningún atacante debería poder alcanzar.

El siguiente paso en la búsqueda habría sido intentar tomar el control de los componentes críticos de seguridad del automóvil, como el frenado y el sistema de aceleración del vehículo.

Sin embargo, después de una cuidadosa consideración, los dos investigadores decidieron finalizar esta etapa porque esto podría comprometer la propiedad intelectual del fabricante y posiblemente violar la ley. 

 

La respuesta de Volkswagen a la divulgación de la vulnerabilidad

Dado que Volkswagen no tiene una política de divulgación responsable publicada en su sitio web, los investigadores informaron los defectos al abogado externo de Volkswagen en julio de 2017. También se realizó una reunión real con la compañía el mes siguiente, Agosto.Esto es lo que dicen los investigadores en un informe:

Durante nuestra reunión con Volkswagen, tuvimos la impresión de que todavía se desconocía esta vulnerabilidad y especialmente nuestro enfoque. Entendimos en nuestra reunión con Volkswagen que, aunque se usa en decenas de millones de vehículos en todo el mundo, este sistema específico de IVI no se sometió a una prueba de seguridad formal y la vulnerabilidad aún era desconocida. . Sin embargo, en sus comentarios para este artículo, Volkswagen dijo que ya conocían esta vulnerabilidad.

Volkswagen ha investigado los defectos y ha dicho que solo emitirá una declaración pública, sino que revisará las búsquedas para verificar sus declaraciones. La compañía está revisando el trabajo de investigación y el examen en sí, se completó en febrero de 2018. " En abril de 2018, justo antes de que el documento fue puesto en libertad, Volkswagen presentó una carta confirmando vulnerabilidades y menciona que se han corregido en una actualización de software del sistema de infoentretenimiento. Esto significa que los automóviles producidos desde esta actualización no se ven afectados por las vulnerabilidades que encontramos ", concluyeron los investigadores.

Finalmente, cabe señalar nuevamente que los modelos de automóviles pirateados provienen de 2015. Si posee un Audi o un Volkswagen a partir de este año, debe ponerse en contacto con su distribuidor para recibir información sobre la actualización del software. 

FUENTE

Authors get paid when people like you upvote their post.
If you enjoyed what you read here, create your account today and start earning FREE STEEM!
Sort Order:  

Congratulations! This post has been upvoted from the communal account, @minnowsupport, by UntitledVzla from the Minnow Support Project. It's a witness project run by aggroed, ausbitbank, teamsteem, theprophet0, someguy123, neoxian, followbtcnews, and netuoso. The goal is to help Steemit grow by supporting Minnows. Please find us at the Peace, Abundance, and Liberty Network (PALnet) Discord Channel. It's a completely public and open space to all members of the Steemit community who voluntarily choose to be there.

If you would like to delegate to the Minnow Support Project you can do so by clicking on the following links: 50SP, 100SP, 250SP, 500SP, 1000SP, 5000SP.
Be sure to leave at least 50SP undelegated on your account.