Los coches conectados son una realidad y son muchos los fabricantes que apuestan por crear aplicaciones para que el usuario pueda comprobar y manejar datos desde el propio terminal móvil. Sin embargo, las vulnerabilidades se encuentran a la orden del día y nos hacen ver que la seguridad aún es un tema pendiente, como es el caso del Nissan LEAF.
Los expertos en seguridad se han mostrado escépticos ante la idea de este tipo de vehículos, pero ya se sabe cuáles son las tendencias, y gracias a los terminales móviles y tabletas las posibilidades son muchas. Sería muy cómodo para el usuario pero el problema es que la seguridad que rodea a las operaciones entre el móvil y el vehículo es aún muy verde y gracias al coche eléctrico de Nissan y la app disponibles para dispositivos podemos ver lo débil que resulta este aspecto. Sin ir más lejos, para que el coche acate una orden solo se necesita el número de bastidor, no existiendo ningún tipo de protección adicional. Esta es la única información que Nissan ha utilizado para que la API utilizada en su vehículo eléctrico lleve a cabo las órdenes enviadas, como por ejemplo encender el climatizador.
Todo esto surgió cuando en Noruega los propietarios de este vehículo y que hacían uso de la aplicación disponible para terminales móviles se percataron de que podrían controlar los Nissan LEAF de los otros usuarios además del suyo, lo cual resulta un grave problema.
Al detectar el problema se pusieron en contacto con el fabricante de vehículos que en un primer momento no dedicó demasiada atención al problema que señalaron, aunque posteriormente y a medida que recibían más quejas se percataron de que se encontraban ante un problema serío y se han visto obligados a tomar medidas.
El fallo en la comunicación del Nissan LEAF con la app ha obligado a “apagar” NissanConnect
Evidentemente es un camino que se debe seguir y la utilización de los smartphones junto con los automóviles es algo inevitable y que haciéndolo de forme correcta puede facilitar y mucho la tarea de los usuarios. Se habla incluso ya de suprimir la llave para dejar paso al uso de estos dispositivos para la apertura y el cierre, pero visto lo visto aún queda mucho camino por recorrer.
El fabricante se ha visto obligado a poner fuera de servicio su nube que conectaba las aplicaciones con los vehículos para evitar cualquier tipo de operación no autorizada en los vehículos. Desde el fabricante no han querido dar muchos detalles pero ya os adelantamos que se trata de un fallo en la autenticación de las aplicaciones y la verificación de la seguridad de los comandos enviados, siendo necesario añadir seguridad adicional y no hacer uso solo del número de bastidor.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad