En los últimos años, cada vez son más frecuentes encontrar vehículos que están conectados a Internet. Esto ofrece muchos beneficios a los usuarios, pero si no tenemos cuidado, también puede ser una fuente de problemas de seguridad. Cuando hablamos de conectividad, no sólo nos estamos refiriendo a los sistemas de información y navegación, sino también aquellas aplicaciones críticas para vehículos, como pueden ser el cierre de puertas o el sistema de arranque, funciones a las que ya es posible acceder de forma online.
Apps móviles para controlar al coche
Debido a que los coches están conectados a Internet, muchas compañías han desarrollado sus propias aplicaciones móviles para tener un mejor control del vehículo. Desde estas herramientas, podemos tener localizado en todo momento nuestro coche, conociendo las coordenadas exactas. También es posible saber la ruta por la que se está moviendo, abrir las puertas, encender o parar el motor y un sin fin de funciones adicionales. A la vez que nos beneficiamos de todas estas nuevas funciones, es necesario que los fabricantes trabajen para asegurar todas estas aplicaciones frente al riesgo de ser víctimas de los ciberataques.
Los analistas de Kaspersky Lab han analizado siete de las aplicaciones de control remoto de automóviles desarrolladas por los principales fabricantes y que, de acuerdo con las estadísticas de Google Play, cuentan con decenas de miles de descargas, llegando en algunos casos a sobrepasar los cinco millones.
Principales problemas de seguridad
El estudio ha encontrado importantes problemas de seguridad en las aplicaciones analizadas. Entre los problemas de seguridad hallados, podemos citar los siguientes:
- No hay protección contra la ingeniería inversa de la aplicación. Como resultado, los ciberdelincuentes pueden buscar vulnerabilidades que les den acceso a la infraestructura del servidor o al sistema multimedia del coche.
- No hay comprobación de la integridad del código. Esto permite a los ciberdelincuentes introducir su propio código en la aplicación, añadir funciones maliciosas y reemplazar el programa original por uno falso en el dispositivo del usuario.
- No hay técnicas de detección de rooteo. Los privilegios root dan un sinfín de posibilidades a los troyanos y dejan a la aplicación indefensa.
- Falta de protección contra técnicas de superposición. Esto permite a las aplicaciones maliciosas mostrar ventanas phishing y hacerse con las credenciales de los usuarios.
- Almacenamiento de datos de acceso en texto plano. Esta técnica poco segura permite a los delincuentes robar los datos del usuario de forma relativamente fácil.
En cada caso, el vector de ataque necesitará de cierta preparación adicional, como atraer a los propietarios de los vehículos para que instalen aplicaciones maliciosas, que se instalaran en el dispositivo y accederán a la aplicación del vehículo. Los expertos de Kaspersky Lab, después de haber estudiado otras aplicaciones maliciosas dirigidas a credenciales online bancarias y otras importantes informaciones, reconocen que esto no va a ser un problema para que los criminales experimentados en técnicas de ingeniería social, decidan hacer de los propietarios de los autos conectados su objetivo.
Está claro que los coches conectados a Internet ofrecen interesantes funcionalidades, pero como todo en esta vida, es importante que se tomen ciertas medidas de seguridad para evitar males mayores.
