En enero de 2023 anunciaron los primeros resultados de su trabajo, sí. Una gran colección de vulnerabilidades web. involucrando a Kia, Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Hyundai, Genesis, BMW, Rolls Royce y Ferrari, todos los cuales fueron reportados a los fabricantes de automóviles. Para aproximadamente la mitad de esas empresas, los errores de red que encontró el equipo ofrecen al menos cierto nivel de control sobre las funciones de los automóviles conectados, como en su reciente hackeo de Kia. Otros, dicen, han permitido el acceso no autorizado a datos o procesos internos de las empresas. Otros se centraron en el software de navegación para vehículos de emergencia y creían que incluso podrían haber evitado que esos vehículos arrancaran, aunque no tenían forma de comprobar de forma segura un truco potencialmente peligroso.
En junio de este año, dice Curry, descubrió que Toyota todavía tenía una vulnerabilidad similar en su portal en línea que, junto con las credenciales de concesionarios filtradas que encontró en línea, permitía a los propietarios controlar remotamente piezas de automóviles Toyota y Lexus, como por ejemplo. buscar, desbloquear, golpear y encender. Informó la vulnerabilidad a Toyota y le mostró a WIRED un correo electrónico de confirmación que parecía mostrar que podía obtener el control de las piezas conectadas de Toyota en línea. Sin embargo, Curry no filmó el engaño de Toyota antes de informarlo a Toyota, y la compañía rápidamente tomó medidas enérgicas contra el error que descubrió, incluso reemplazándolo temporalmente para evitar su uso.
“Como resultado de esta investigación, Toyota bloqueó inmediatamente las credenciales y aceleró la actualización de seguridad del portal, además de cerrar temporalmente el portal hasta que se completen las actualizaciones”, escribió un portavoz de Toyota para WIRED en junio.
Más funciones inteligentes, más errores limpios
El sorprendente número de vulnerabilidades en los sitios web de los fabricantes de automóviles que permiten el control remoto de los automóviles es un resultado directo de la presión de las empresas para atraer a los consumidores -especialmente a los jóvenes- con funciones habilitadas para teléfonos inteligentes, dice Stefan Savage, profesor de informática en UC San . Diego cuyo equipo de investigación fue el primero en Hackear huelga y freno de automóvil en línea en 2010. “Una vez que colocas estas interfaces de usuario en el teléfono, esta cosa conectada a la nube, creas esta superficie de ataque de la que no tenías que preocuparte antes”, dice Savage.
Sin embargo, dice, a él también le sorprende la inseguridad de todo el código web que controla esas funciones. Dice: “Es un poco triste que sea tan fácil abusar de él como lo ha sido”.
Rivera dice que ha visto de primera mano en su tiempo trabajando en ciberseguridad automotriz que las compañías automotrices tienden a centrarse más en dispositivos “integrados” (componentes digitales en entornos informáticos no tradicionales como vehículos) a diferencia de la seguridad web, en parte porque la actualización de esas herramientas instaladas puede hacerlo. estar hecho. más difícil y lleva a recordar. “Desde el principio quedó claro que había una clara brecha entre la seguridad integrada y la ciberseguridad en la industria automotriz”, dice Rivera. “Estas dos cosas a menudo se superponen, pero la gente tiene experiencia en una o en la otra”.
Savage de UCSD espera que el trabajo de los investigadores que piratearon Kia pueda ayudar a cambiar esa percepción. Muchos de los primeros intentos de piratería de alto perfil que involucraron sistemas integrados de automóviles, como la adquisición de Jeep en 2015 y el pirateo de Impala en 2010 por parte del equipo de Savage en UCSD, han alentado a los fabricantes de automóviles a priorizar la ciberseguridad integrada, dice. Ahora las empresas automotrices deben centrarse en la seguridad cibernética, incluso si eso significa hacer sacrificios o cambios en sus operaciones.
¿Cómo se decide: ‘No podemos enviar un automóvil durante seis meses porque no utilizamos el código en línea?’ Es difícil de vender”, dice. “Me gusta pensar que este tipo de evento hace que la gente analice esa decisión más de cerca”.
