Una vulnerabilidad permite controlar un Jeep Cherokee de forma remota

Benzo
Un fallo de seguridad en Uconnect (el sistema de conectividad de la marca Chrysler) permite a un atacante tomar el control remoto de un Jeep Cherokee, según ha podido comprobar un equipo de Wired.

En una demostración en vivo los asaltantes utilizan la vulnerabilidad para regular el climatizador, encender la radio con el volumen al máximo o activar los limpiaparabrisas. Pero no se quedan ahí, también cortan la transmisión y los frenos de un Jeep Cherokee. Todo ello de forma remota, sin acceso físico al vehículo, a kilómetros de distancia y sin que el conductor pueda hacer nada.


El sistema Uconnect utiliza la red del operador Sprint, circunstancia que permite a los hackers localizar de forma remota los coches con escaneos. No parece que haya ningún cortafuegos, así que una vez localizada la IP del dispositivo pueden entrar en el sistema, reescribir el firmware de Uconnect con su código y controlar el coche como si tuvieran acceso físico. No necesitan estar cerca del vehículo, una vez consiguen la IP pueden decidir el destino del coche afectado desde cualquier lugar de Estados Unidos.

A pesar de que las pruebas se han realizado en un Jeep Cherokee los investigadores Charlie Miller y Chris Valasek dicen que su sistema tiene potencial para funcionar en cualquier vehículo Chrysler con Uconnect. La marca lleva usando este sistema de conectividad desde finales del 2013 y se estima que puede haber un máximo de 471.000 coches vulnerables.

Imagen

Afortunadamente Miller y Valasek avisaron a Chrysler de su descubrimiento y han estado trabajando con el fabricante para solucionar el fallo de seguridad. A la marca no le ha hecho mucha gracia que ambos investigadores lo hicieran público, pero gracias a ellos el pasado 16 de julio liberaron un parche para solucionar la vulnerabilidad. El problema es que debe ser instalado de forma manual mediante un USB o hacerlo en el concesionario.

Miller y Valasek mostrarán la vulnerabilidad el próximo mes durante la Defcon que se celebra en Las Vegas, pero se reservarán los detalles cruciales para que nadie pueda explotar el error a gran escala.
Fuente: Wired
Sobre el autor » Benzo

Empecé con una NES a finales de los 80 y todos los 90 los pasé junto a SNES, N64 y una PlayStation prestada. El nuevo siglo me trajo una PS2 y más adelante una Xbox. Jugador de PC desde hace años, seguidor de Blizzard, lector y seriéfilo.

Más publicaciones de Benzo »

Avatar de Benzo
Síguelo en