Són segurs els cotxes connectats?

Cotxe connectat amb tecnologia de NVIDIA al CES 2013. Imatge: Guillem Alsina
Compartir

Els wearables i els vehicles connectats són les grans tendències i els nous camps de batalla per a la indústria tecnològica però, com sempre, penja sobre ells el dubte sobre la seva seguretat.

I precisament ha estat a l’Estat Espanyol on s’ha dut a terme un estudi pioner al món sobre un d’aquests dos camps, el dels cotxes connectats.

Realitzat per IAB Spain (entitat que representa el sector de la publicitat en mitjans digitals a Espanya) i patrocinat per Kaspersky Lab, ha consistit en el testeig de 21 vehicles de fins a 15 fabricants diferents al final del qual se n’han tret les següents conclusions:

  1. Mercat altament fragmentat pel que fa a plataformes de programari (llegeixi’s sistemes operatius, amb fins a quatre presents), modes de connexió, i apps.
  2. Àmplia oferta però poc homogènia. Entre els continguts i serveis que ofereixen en els seus vehicles les 24 marques que ja disposen de cotxes connectats al seu catàleg, hi ha poques similituds.
  3. El model de negoci que proposen els fabricants és el de serveis gratuïts durant un temps limitat.
  4. Nou mercat per les Apps: poca oferta de continguts lúdics, molta de guies i utilitats.Més d’un terç de les Apps són via smartphones.
  5. Enfocament cap als assistents per veu, amb tota lògica: quan fem servir el volant, no queda marge per mirar una pantalla o per a tocar-la.
  6. Noves oportunitats per al màrqueting i la publicitat.

Pel que fa a les plataformes de programari, l’estudi assenyala la MirrorLink de Nokia, Android Auto de Google, Carplay d’Apple i Windows in the car de Microsoft, deixant curiosament de banda el potent QNX de RIM al qual dóna suport, per exemple, Qualcomm. aquest potser sigui més popular i emprat entre els fabricants automobilístics nord-americans per al seu mercat nacional i els mercats que li són més propers per tradició (Canadà, Mèxic).

Però sense cap mena de dubte, un punt de gran interès sobre aquestes noves tecnologies que permeten als cotxes connectar-se i dialogar tant entre ells com amb la Xarxa, és la seguretat o la inseguretat que això pot comportar.

Vicente Díaz, expert en seguretat de Kaspersky Lab, ha estat l’encarregat d’analitzar els possibles vectors d’atac que els ciberdelinqüents podrien emprar en el futur per comprometre la seguretat dels nostres vehicles, entre els quals s’hi troben tant els que tradicionalment ja teníem en els mercats dels PCs i dels smartphones, fins a peculiaritats pròpies dels mateixos vehicles.

La privacitat, les actualitzacions i les apps dels smartphones són les tres vies amb més potencial de ser aprofitades pels ciberdelinqüents; “els riscos que poden patir els usuaris d’aquests cotxes connectats van des del robatori de contrasenyes, obertura de portes, accés a serveis remots, localització del cotxe i fins i tot el control físic del vehicle“, indica l’expert de Kaspersky.

Per a realitzar el seu estudi, Díaz s’ha basat en l’anàlisi del sistema BMW ConnectionDrive, trobant en concret aquests vectors d’atac:

  • Robatori de credencials: el robatori de credencials d’usuari per accedir al portal de BMW, ja sigui mitjançant phishing, keyloggers o enginyeria social, permetria a un tercer accedir a informació de l’usuari i del vehicle. A partir d’aquí es podria instal·lar l’aplicació per a mòbil amb aquestes mateixes credencials que, en cas de tenir activats els serveis remots, podria permetre activar l’obertura de portes, per exemple.
  • Aplicació mòbil: en cas de tenir els serveis d’obertura remota activats, el mòbil es converteix en les claus. Si l’aplicació no té una seguretat prou bona, podria ser un vector d’atac en cas de robatori del telèfon. En aquest cas sembla que és possible modificar la base de dades de l’aplicació per evitar l’autenticació PIN, de manera que un atacant podria evitar-la i activar els serveis remots.
  • Actualitzacions: el procés d’actualització dels drivers bluetooth es fa a partir de la descàrrega d’un arxiu des de la web de BMW que posteriorment instal·larem al cotxe mitjançant un USB. Aquest fitxer no està xifrat ni signat, i és possible trobar dins del mateix molta informació interna del sistema que s’executa en el vehicle. Això donaria a un atacant potencial amb accés físic a la clau USB, la possibilitat de conèixer l’entorn atacat. També sembla que podria modificar l’actualització per a executar codi maliciós.
  • Comunicacions: algunes funcions es comuniquen amb la SIM interna del vehicle mitjançant missatges SMS. Aquests missatges es poden arribar a desxifrar i enviar fent-se passar per un altre remitent, en funció del xifrat de l’operadora. En el pitjor dels casos es podria reemplaçar BMW per a la comunicació de certs serveis.
Guillem Alsina
Etiquetes: