BMW, Ferrari, Mercedes-Benz, o Toyota son algunos de los casi veinte fabricantes y servicios de automóviles están afectados por las vulnerabilidades detectadas en sus APIS (Application Programming Interfaces). Un hecho que podría haber permitido a ciberdelincuentes realizar actividades maliciosas, desde desbloquear, arrancar y rastrear automóviles, hasta exponer la información personal de los clientes.

Un equipo de investigadores liderado por Sam Curry, ha descubierto fallos en las APIs que afectan a marcas automovilísticas tan reconocidas como BMW, Ferrari, Ford, Honda, Hyundai, Jaguar, KIA, Mercedes-Benz. Nissan, Porsche o Toyota, entre otras. Unas vulnerabilidades que también afectan a marcas de tecnología de vehículos Spireon y Reviver y al servicio de transmisión SiriusXM.

Los investigadores han ofrecido detalles sobre estas vulnerabilidades ahora que los fabricantes ya han solucionado y, por lo tanto, no se pueden explotar.

Los errores de API más graves se encontraron en BMW y Mercedes-Benz, que se vieron afectadas por vulnerabilidades de SSO (inicio de sesión único) en toda la empresa, lo que permitió a los ciberdelincuentes acceder a los sistemas internos.

En el caso de Mercedes-Benz, esto permitía el acceso a múltiples instancias privadas de GitHub, canales de chat internos en Mattermost, servidores, instancias de Jenkins y AWS, y sistemas XENTRY que se conectan a los automóviles de los clientes.

En lo que respecta a BMW, se podía acceder a los portales internos de los concesionarios, consultar los números de identificación (VIN) de cualquier automóvil, y recuperar documentos de ventas con detalles confidenciales del propietario.

Además, podían aprovechar los errores de SSO para iniciar sesión como cualquier empleado o distribuidor y acceder a aplicaciones reservadas para uso interno.

La información de los propietarios de automóviles, al descubierto

La explotación de otros errores de las APIS permitió a los investigadores acceder a la PII (información de identificación personal) de los propietarios de coches KIA, Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Hyundai, Genesis, BMW, Roll Royce, Ferrari, Ford, Porsche y Toyota.

En los casos de automóviles con un elevado precio, revelar información del propietario es particularmente peligroso ya que, en algunos casos, los datos incluyen información de ventas, ubicación física y direcciones de clientes.

Ferrari sufría de un SSO mal implementado en su CMS, lo que exponía las rutas API backend y permitía extraer credenciales de fragmentos de JavaScript. De esta forma, un ciberdelincuente podía explotar estos errores para acceder, modificar o eliminar cualquier cuenta de cliente de Ferrari, gestionar el perfil de su vehículo, o establecerse como propietario de un automóvil.

Estas vulnerabilidades también podrían haber permitido a los ciberdelincuentes rastrear automóviles en tiempo real, introduciendo riesgos físicos y afectando la privacidad de millones de propietarios de automóviles.

Fallo APIS fabricantes automóviles exposición datos usuarios coches noticia bit life media

Porsche ha sido una de las marcas afectadas, con fallos en sus sistemas telemáticos que permitían a los atacantes recuperar ubicaciones de vehículos y enviar comandos.

La solución de rastreo GPS Spireon también era vulnerable a la divulgación de la ubicación del automóvil, lo que afectó a 15,5 millones de vehículos que usaban sus servicios. Una vulnerabilidad que incluso daba acceso completo a su panel de gestión remota, lo que permitió a los atacantes desbloquear automóviles, encender el motor o desactivar el motor de arranque de vehículos.

Otra entidad afectada es Reviver, fabricante de matrículas digitales. Su vulnerabilidad daba acceso remoto no autenticado a su panel de gestión, lo que podía ofrecer a cualquier persona acceso a datos de GPS y registros de usuarios, así como capacidad de cambiar los mensajes de las matrículas.

Minimizar la exposición

Los propietarios de automóviles pueden protegerse de este tipo de vulnerabilidades al limitar la cantidad de información personal almacenada en los vehículos o en las aplicaciones móviles complementarias.

También es esencial configurar la electrónica del automóvil del modo más privado posible y leer las políticas de privacidad para comprender cómo se utilizan los datos.

«Al comprar un automóvil usado, asegúrese de que se haya eliminado la cuenta del propietario anterior. Use contraseñas seguras y configure el 2FA (doble factor de autenticación), si es posible, para aplicaciones y servicios que se vinculan a su vehículo» ha aconsejado Curry en un comunicado a BleepingComputer.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre