Tomando el control de los autos desde lejos

Los investigadores que han pasado los últimos dos años estudiando la seguridad de los sistemas informáticos de los automóviles han revelado que pueden tomar el control de los vehículos de forma inalámbrica.





Guión pirateado: Los investigadores han demostrado anteriormente que pueden tomar el control de la pantalla del tablero de un automóvil, entre otros sistemas.

Los investigadores pudieron controlar todo, desde los frenos del automóvil hasta las cerraduras de las puertas y las pantallas del tablero de instrumentos computarizados, accediendo a la computadora a bordo a través de OnStar de GM y Ford Sync, así como a través de las conexiones Bluetooth diseñadas para hacer llamadas telefónicas con manos libres. Presentaron sus hallazgos esta semana a las Academias Nacionales. Comité de controles electrónicos de vehículos y aceleración involuntaria , que se reunió en parte en respuesta al escándalo del año pasado sobre supuestos problemas con los sistemas de frenos computarizados en Toyota Prius.

El equipo, incluido Tadayoshi Kohno , profesor asistente de informática en la Universidad de Washington, y Stefan salvaje , profesor de ciencias de la computación en la Universidad de California en San Diego, había demostrado previamente que podían tomar el control de los sistemas informáticos de un automóvil, siempre que tuvieran acceso físico al puerto de diagnóstico a bordo del vehículo, un punto de acceso por mandato federal ubicado debajo del salpicadero en casi todos los coches modernos.

Con el nuevo trabajo, los investigadores analizaron sistemáticamente las formas en que podían acceder a los sistemas informáticos de un automóvil sin tener acceso físico. Usaron un sedán de producción en masa de 2009 equipado con menos sistemas informáticos que muchos autos de alta gama. Para cada ataque que tuvo éxito, confirmaron que podían tomar el control completo de todos los sistemas informáticos internos del automóvil.

Los investigadores atacaron el sistema Bluetooth del automóvil, que permite al conductor realizar llamadas con el teléfono celular con manos libres. Encontraron una vulnerabilidad en la forma en que se implementó el sistema Bluetooth que les permitía ejecutar código para tomar el control del automóvil. Para hacer esto, los investigadores usaron un teléfono inteligente ya emparejado con el automóvil o encontraron una manera de autorizar ilícitamente una nueva conexión de teléfono inteligente.

Hoy en día, muchos automóviles vienen equipados con conexiones celulares que realizan funciones de seguridad, como pedir ayuda automáticamente si el conductor sufre un accidente. Los investigadores descubrieron que podían tomar el control de este sistema rompiendo su sistema de autenticación. Primero, hicieron alrededor de 130 llamadas al automóvil para obtener acceso y luego cargaron el código usando 14 segundos de audio. Los investigadores también encontraron otras formas de obtener acceso, por ejemplo, a través del reproductor multimedia del automóvil.

Nos sorprendió descubrir que la superficie de ataque era tan amplia, dice Kohno, refiriéndose a la amplia variedad de formas en que los investigadores pudieron acceder a los sistemas informáticos del automóvil.

El equipo también analizó posibles escenarios de ataque. Por ejemplo, demostraron que los ladrones de automóviles de alta tecnología podían buscar los modelos de automóviles deseados, identificar sus ubicaciones y desbloquearlos, todo sin tener que ingresar por la fuerza. Podrían realizar una vigilancia maliciosa, como obligar a un automóvil a enviar su ubicación GPS a intervalos regulares. También podrían sabotear un automóvil, desactivando sus frenos, por ejemplo.

No hay evidencia de que ninguno de estos escenarios de ataque haya sido utilizado por delincuentes, y hay poco peligro inmediato para los consumidores, dicen los investigadores. Tanto Stefan como yo todavía nos sentimos perfectamente cómodos conduciendo nuestros coches, dice Kohno.

Esto llevó dos años a 10 investigadores para lograrlo, agrega Savage. No es algo que un hombre vaya a hacer en su garaje.

Sin embargo, puede que sea hora de que los fabricantes empiecen a buscar formas de proteger los coches de los ataques de piratas informáticos. Louis Lanzerotti , distinguido profesor de investigación en el departamento de física del Instituto de Tecnología de Nueva Jersey y presidente del Comité de Controles Electrónicos de Vehículos y Aceleración No Intencionada, dice que los investigadores fueron invitados a hablar en el evento como parte de su revisión de los controles electrónicos de vehículos. sistemas y seguridad en toda la industria. El grupo reunirá la información que recopile para hacer recomendaciones a los Administración Nacional de Seguridad del Tráfico en las Carreteras con respecto a las formas de garantizar que los controles electrónicos del vehículo sean seguros.

Atacar coches de forma remota amplía significativamente la amenaza y aumenta en gran medida el impacto de este y el trabajo anterior [de los investigadores], dice Aurélien Francillon , investigador del grupo de seguridad de sistemas de ETH Zurich, en Suiza, que también ha trabajado en seguridad automotriz. Es hora de que los fabricantes de automóviles, a medida que se convierten en empresas de software, se tomen muy en serio la seguridad del software y apliquen las mejores prácticas comunes en el endurecimiento del software y los métodos formales de diseño y verificación. Aunque Francillon reconoce que esto aumentará los gastos de desarrollo e ingeniería de sistemas para automóviles, cree que será necesaria una inversión adicional a medida que se hagan públicos más ataques de software.

Algunos fabricantes ya están trabajando para mejorar la seguridad, señala Francillon, y se están llevando a cabo varios proyectos de investigación europeos, como Evita , además del trabajo que está realizando el Center for Automotive Embedded Systems Security.

Savage cree que, a pesar de la amplia gama de vulnerabilidades que encontró la investigación, se abordarán los problemas. Podemos ver un buen resultado aquí, dice.

esconder