Los vehículos, los nuevos servicios y los mismos fallos de siempre
Creo que venimos hablando de este tema desde las primeras versiones de este sitio, desde varios puntos de vista:
- Las diferentes industrias que se digitalizan cometen los mismos errores que las que lo hicieron anteriormente y no aprovechan lo que se ha aprendido en estos años. No sólo eso, sino que a pesar de desarrollar nuevas plataformas, no lo hacen con los principios adecuados, que garanticen que se hace bien.
- La industria del automóvil ya ha pasado varias veces por estos problemas (diez años va a cumplir, por ejemplo, este: [PFD] Remote Exploitation of an Unaltered Passenger Vehicle a cargo de Charlie Miller (uno de los primeros en ganar notoriedad con estos temas) y Chris Valasek, también curtido en estas batallas.
Em Hacking Kia: Remotely Controlling Cars With Just a License Plate Sam Curry nos hablan del caso del conocido fabricante Kia y una serie de fallos que permitirían a un atacante controlar algunas funciones importantes del vehículo conociendo su matrícula.
… a set of vulnerabilities in Kia vehicles that allowed remote control over key functions using only a license plate.
Esto incluía, claro, obtener información personal:
Additionally, an attacker could silently obtain personal information, including the victim’s name, phone number, email address, and physical address.
La cuestión es que con instrucciones y métodos muy sencillos era posible realizar los ataques porque casi todo parece estar mal: un identificador que es fácil de conocer, pero también otros fallos de acceso a los sistemas que realizaban las acciones. En el artículo se detallan las ideas principales.