{"id":4869,"date":"2015-01-27T19:11:29","date_gmt":"2015-01-27T19:11:29","guid":{"rendered":"http:\/\/kasperskydaily.com\/mexico\/?p=4869"},"modified":"2020-02-26T09:18:08","modified_gmt":"2020-02-26T15:18:08","slug":"snapshot-progressive-potencia-el-hackeo-a-conductores","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/snapshot-progressive-potencia-el-hackeo-a-conductores\/4869\/","title":{"rendered":"Snapshot Progressive Potencia el Hackeo a Conductores"},"content":{"rendered":"

La semana pasada un investigador se dio cuenta de las caracter\u00edsticas de la herramienta de seguimiento Progressive Snapshot<\/a> que permiten vulnerar las redes conectadas a autom\u00f3viles. El dispositivo es fabricado por Auto Insurance y se enchufa en el puerto\u00a0OBD-II<\/a>.\u00a0\u00bfSu objetivo? Monitorear el comportamiento del conductor con el fin de ofrecer tasas de seguro m\u00e1s baratas.<\/p>\n

\"Progressive-Snapshot-Hack\"Para quienes no lo conocen, OBD- II es el puerto de entrada \u00a0ubicado en la parte inferior \u00a0izquierda del volante. Es el puerto a trav\u00e9s del cual el mec\u00e1nico automotor conecta una m\u00e1quina de inspecci\u00f3n con el objetivo de hacer una revisi\u00f3n de los c\u00f3digos en los sistemas inform\u00e1ticos del coche y, as\u00ed, tener certeza de que el mismo no contamina el aire. Es tambi\u00e9n el puerto al que puedes conectar un esc\u00e1ner de diagn\u00f3stico para comprobar por qu\u00e9 la luz del motor se enciende.<\/span><\/p>\n

Para contextualizar: La red de tu autom\u00f3vil consiste en sensores, unidades de control el\u00e9ctrico y un procotolo de comunicaciones Bus CAN<\/a> . Los ECU tienen muchas funcionalidades, pero su objetivo primario consiste en procesar las se\u00f1ales de los sensores de monitoreo del veh\u00edculo, desde el control del motor y las bolsas de aire hasta otras cuestiones que desconozco. Estos dispositivos suelen estar conectados entre s\u00ed y se comunican a trav\u00e9s del Bus CAN. As\u00ed, por ejemplo, si llegaras a estrellarte, un sensor le dice a su ECU lo sucedido; luego, el ECU transmite dicho mensaje del Bus CAN a otro ECU que, finalmente, expulsa la bolsa de aire.<\/p>\n

La herramienta de seguimiento @Progressive #Snapshot es insegura y expone a los conductores al hackeo<\/p>Tweet<\/a><\/blockquote>\n

El puerto OBD- II sol\u00eda ser la \u00fanica forma de establecer comunicaci\u00f3n con el Bus CAN y su ECU. Una nueva investigaci\u00f3n concluye que ello se puede hacer de forma inal\u00e1mbrica tambi\u00e9n.<\/a>\u00a0En cualquier caso, Cory Thuen, \u00a0investigador de seguridad de Bond digital, tom\u00f3 las riendas de uno de estos dispositivos Snapshot, que son utilizados por unos dos millones de coches. A trav\u00e9s de la ingenier\u00eda inversa descubri\u00f3 c\u00f3mo funcionaba, raz\u00f3n por la cual los instal\u00f3 en Toyota Tundra. As\u00ed fue c\u00f3mo determin\u00f3 que Snapshot no se autentica ni encripta su tr\u00e1fico, al tiempo que no contiene firmas de validaci\u00f3n digitales ni ofrece funci\u00f3n segura de arranque.\u00a0Para ser claros: los dispositivos Snapshot se comunican con Progressive a trav\u00e9s de la red celular en texto plano. Esto significa que un atacante, por ejemplo, podr\u00eda instalar con facilidad una antena de telefon\u00eda m\u00f3vil falsa y, por a\u00f1adidura, realizar ataques intermediarios.<\/p>\n

Es completamente posible que un hacker remoto inyecte un c\u00f3digo a trav\u00e9s de un dispositivo de Seguridad y en la red que controla las bolsas de aire de tus autos y frenos de emergencia.<\/div>\n

A pesar de estas graves fallas de seguridad, el dispositivo tiene la capacidad de comunicarse con el Bus CAN. Por lo tanto, es perfectamente posible que un hacker remoto inyecte un c\u00f3digo a trav\u00e9s de un dispositivo de Seguridad y en la red que controla las bolsas de aire de tus autos y frenos de emergencia. Thuen \u00a0termin\u00f3 en la inyecci\u00f3n de c\u00f3digo en la red del coche. El investigador afirma haber estado interesado en averiguar si exist\u00eda alg\u00fan tipo de \u00a0seguridad que le impidiera hacer eso.<\/p>\n

Antes que entres en p\u00e1nico, el a\u00f1o pasado habl\u00e9 con Chris Valasek, director de investigaci\u00f3n de seguridad IOActive y experto en el hackeo de coches, \u00a0acerca de la infecci\u00f3n de Bus CAN debido a c\u00f3digos maliciosos. Me asegur\u00f3 que es m\u00e1s f\u00e1cil hablar del tema que hacerlo.<\/p>\n

\n

#Security<\/a> Holes in @Progressive<\/a> Dongle Could Lead to Car Hacks \u2013 http:\/\/t.co\/4iWReok2F4<\/a><\/p>\n

\u2014 Threatpost (@threatpost) January 19, 2015<\/a><\/p><\/blockquote>\n