16 Feb 2017

Android para coches: ¿conexión segura?

Amenazas Malware Noticias

En la película Colega, ¿dónde está mi coche? (2000), los espectadores siguen la cómica historia de dos chicos que intentan recordar dónde aparcaron su coche. A todos nos ha pasado (bueno, puede que no al nivel de los personajes de la película, pero levanta la mano si alguna vez se te ha olvidado dónde aparcaste en un centro comercial o en el supermercado).

17 años después, hay aplicaciones para todo, hasta para el coche. Lo más probable es que, si una aplicación hace que tu vida sea más fácil, alguien la desarrollará y muchas personas la usarán.

En los últimos años, el concepto de coche conectado ha continuado evolucionando (y se ha hecho realidad). En la conferencia RSA de este año, que se llevó a cabo en San Francisco, nuestros investigadores antimalware Victor Chebyshev y Mikhail Kuzin presentaron un estudio que llevaron a cabo sobre siete aplicaciones populares para vehículos.

Al parecer, las aplicaciones hacen que la vida de los usuarios sea más fácil al enlazar sus dispositivos Android con sus coches, pero nos preguntamos: ¿cambiamos seguridad por ventajas? Como sucede con tantos dispositivos IdC conectados, la respuesta es que la seguridad debe ser más prioritaria para los desarrolladores y fabricantes.

Las funciones primarias de estas aplicaciones son la apertura de puertas y, muchas veces, el arranque del coche. Por desgracia, los atacantes se pueden aprovechar de los fallos de las aplicaciones.

Sin protección contra la ingeniería inversa de la aplicación. Como resultado, los malos pueden buscar vulnerabilidades que les den acceso a la infraestructura del servidor o al sistema multimedia del coche.
Sin comprobación de la integridad del código. Esto permite a los delincuentes introducir su propio código en la aplicación, añadir funciones maliciosas y reemplazar el programa original por uno falso en el dispositivo del usuario.
Sin técnicas de detección de rooteo. Los privilegios root dan un sinfín de posibilidades a los troyanos y dejan a la aplicación indefensa.
Falta de protección contra técnicas de superposición. Esto permite a las aplicaciones maliciosas mostrar ventanas phishing encima de las originales, engañando así a los usuarios para que introduzcan credenciales en ventanas que las envían a los delincuentes.
Almacenamiento de datos de acceso en texto plano. Esta técnica poco segura permite a los delincuentes robar los datos del usuario de forma relativamente fácil.

Tras acceder con éxito, un atacante puede tomar el control del coche, desbloquear las puertas, desactivar la alarma de seguridad y, en teoría, robar el vehículo.

Los investigadores revelaron sus conclusiones a los desarrolladores (sin hacer públicos los nombres de las aplicaciones) y también les dijeron que no habían detectado ninguna brecha de seguridad. En Securelist está el informe completo y detallado, en el cual se evalúa a cada una de las aplicaciones.

Es fácil pensar que nunca te hackearán o que esto es ciencia ficción, pero la verdad es que, desde su invención, el coche ha sido un objetivo de los delincuentes. Y si un hackeo para facilitar las cosas es posible, imagina las posibilidades.

Algo más que hay que tener en cuenta es que ya hemos visto a hackers de sombrero blanco utilizar vulnerabilidades para demostrar cómo controlar un coche. Dos de las mayores historias sobre coches de los últimos dos años trataban sobre cómo Charlie Miller y Chris Valasek tomaron el control de un Jeep.

Por último, la seguridad personal y el uso de la aplicación depende de las preferencias personales. Con quien compartimos nuestros datos o a quien confiamos nuestra comodidad es cosa nuestra. Con los dispositivos y aplicaciones IdC, se valora más la comodidad que la seguridad.

Para terminar, Chebyshev apunta:

“Las aplicaciones para coches conectados no están preparadas para resistir ataques de malware. Esperamos que los fabricantes de coches sigan el mismo camino que han seguido los bancos con sus aplicaciones… Tras varios casos de ataques contra aplicaciones bancarias, muchos bancos han mejorado la seguridad de sus productos.

Por suerte, aún no hemos detectado ningún caso real en el que se haya atacado una aplicación automovilística, lo que significa que los fabricantes de coches aún tienen tiempo de hacer las cosas bien. La exactitud del tiempo no se conoce. Los troyanos modernos son muy flexibles, un día pueden actuar como adware normal y al siguiente pueden descargar fácilmente una configuración nueva que haría posible atacar nuevas aplicaciones. Las posibilidades son muchas”.