Un investigador de seguridad ha publicado un video en YouTube que muestra cómo un dispositivo que creó, llamado Ownstar, puede interceptar comunicaciones inalámbricas para localizar, desbloquear y encender a distancia los vehículos de GM que utilizan la aplicación móvil OnStar RemoteLink. Samy Kamkar, que se refiere a sí mismo como un hacker y denunciante, publicó el video mostrándole utilizando un dispositivo que él llama OwnStar. El dispositivo, dijo, intercepta las comunicaciones entre OnStar de GM RemoteLink aplicación móvil y el servicio de nube de OnStar. Este hackeo se registra al poco tiempo de otra violación de la seguridad relacionada con los vehículos de Fiat y Chrysler con versiones tempranas del sistema UConnect Infotainment, al cual se podía acceder remotamente y utilizarlo para controlar las funciones esenciales del vehículo. Esos hackers fueron capaces de controlar los sistemas de aceleración del vehículo, de frenado y de ignición, entre otros.
Después de que el hackeo se hizo público, Fiat Chrysler Autimobiles (FCA) emitió un aviso de retiro de 1.4 millones de vehículos con el fin de solucionar la vulnerabilidad de software que permitía a los piratas informáticos romper de forma inalámbrica la seguridad en algunos vehículos y electrónicamente controlar sus funciones vitales. La Administración de Seguridad de Carreteras de Estados Unidos también planea investigar el asunto, y dos senadores estadounidenses también pidieron una investigación sobre el manejo de Chrysler de la retirada de vehículos, que según ellos llegó nueve meses después de la compañía sabía de la falla de seguridad. Hackeando los autos de GM OnStar es un servicio de GM basado en suscripción que proporciona seguridad del vehículo, llamadas manos libres, direcciones paso a paso para la conducción y diagnóstico a distancia. RemoteLink, por su parte, es la aplicación móvil de GM OnStar que permite a los usuarios desbloquear y encender remotamente sus vehículos desde casi cualquier lugar. La aplicación también puede encender las luces del auto, hacer sonar la bocina y gestionar el punto de acceso a Wi-Fi de los vehículos que lo tienen equipado. Kamkar dijo que después de que un usuario abre la aplicación de conexión remota OnStar en su teléfono móvil “cerca del dispositivo OwnStar”, este intercepta la comunicación y envía paquetes de datos “especialmente diseñados” al dispositivo móvil para adquirir credenciales adicionales.
El dispositivo OwnStar luego notifica al hacker sobre el nuevo vehículo al que ahora tiene acceso por un período indefinido de tiempo, durante el cual puede ver la marca, modelo y ubicación física del vehículo. Y en ese punto, el hacker puede utilizar la aplicación de conexión remota para controlar el vehículo. “Afortunadamente, el problema radica en el software móvil y no es un problema con los vehículos en sí”, dijo Kamkar. “GM y OnStar hasta ahora han sido receptivos a mi mensaje y ya están trabajando rápidamente en una resolución para proteger a los consumidores”. GM por su parte indicó que lleva los asuntos que afectan a la seguridad y la seguridad de sus clientes “muy en serio”. “Representantes de ciberseguridad de productos en GM han revisado la potencial vulnerabilidad identificada recientemente. Al trabajar con el investigador, nos movimos rápidamente para asegurar nuestro sistema de ‘back-office’ y reducir el riesgo”, declaró la compañía. “Sin embargo, más acción es necesaria en la aplicación RemoteLink. Tomamos todos los asuntos cibernéticos en serio y una aplicación RemoteLink mejorada también estará disponible en las tiendas de aplicaciones pronto para mitigar totalmente el riesgo”. Kamkar dijo que proporcionará detalles adicionales sobre el hackeo en la próxima conferencia de hacking ‘Def Con’, así como en su canal de YouTube y la página web. La aplicación OnStar RemoteLink, que trabaja con Apple iOS, Android, BlackBerry y dispositivos móviles de Windows, ha sido descargado por más de 3 millones de personas, según el sitio web de OnStar.
Fuente:https://www.elcomercio.com/
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
