Hace tiempo que han aparecido los dongles ODB2 que permiten convertir a nuestro coche en un coche conectado. En Estados Unidos diversas empresas de seguros de coche las ofrecen a sus clientes con un objetivo interesante: registran la conducción de esas personas y ajustan la cuota del seguro según el tipo de conductor, pudiendo reducir esa cuota o subirla según la "seguridad" detectada en el modo de conducción.
Sin embargo un investigador de seguridad de Digital Bond Labs llamado Corey Thuen ha descubierto que estos dispositivos son una puerta abierta para hackers y crackers, que pueden aprovechar el hecho de que los responsables de estos dispositivos apenas implementan medidas de seguridad.
Es el caso de Snapshot, un producto de la empresa Progressive Insurance, que simplemente al ser conectado a un portátil hace que podamos controlar la apertura de puertas, el arranque o la recolección de datos del motor. Extrayendo el firmware y haciendo ingeniería inversa pudo descubrir cómo explotar sus vulnerabilidades.
Según Thuen, las medidas de seguridad brillaban por su ausencia: "El firmwware que está instalado en el dongle es mínimo e inseguro. No realiza la validación o la firma de las actualizaciones del firmware, no tiene arranque seguro, no tiene autenticación a través del móvil, no tiene cifrado ni comunicaciones seguras, no tiene prevención de ejecución de datos o tecnologías que traten de mitigar los ataques... básicamente no utiliza ningún tipo de tecnología de seguridad".
El investigador avisaba de las amenazas que esto puede conllevar, con ciberatacantes que pueden controlar estos dispositivos y los coches a los que están conectados, además de todos los datos que se transfieren entre los dongles y los servidores de las empresas de seguros, ya que esos datos no están cifrados.
Vía | Forbes
En Xataka | Tu coche sabe demasiado de ti y hay empresas ansiosas por esos datos
Ver 8 comentarios