Nuevo truco OnStar puede desbloquear coches y empezar motores

Hay una nueva manera de entrar en los coches conectados. En un informe en la actualidad con conexión de cable, investigador Samy Kamkar reveló un artefacto casero que llama OwnStar. Es una pequeña caja del tamaño de un enrutador, construida para entrar en el sistema OnStar de GM a través de un punto de acceso Wi-Fi sin escrúpulos. Cuando se utiliza correctamente, el cuadro que lo haga nada OnStar puede hacer, incluyendo la localización de un vehículo de forma remota, abrir las puertas, o incluso arrancar el motor. (Cabe destacar que, OnStar no permite el acceso remoto a dirección, la transmisión o los frenos de un coche, cortando los ataques más temibles.) Kamkar informó la vulnerabilidad a General Motors antes de su publicación, y la compañía dice que ya ha actualizado su sistema de para proteger contra el ataque, pero la vulnerabilidad se presenta como una ilustración de cómo los atacantes podrían dirigirse a los sistemas del automóvil conectados. Los detalles completos del ataque se dará a conocer en una presentación en DefCon la próxima semana.

Para que funcione correctamente, el cuadro de OwnStar tiene que ser fijado a la carrocería del coche, lo suficientemente cerca para interceptar las comunicaciones de teléfono del conductor. A partir de ahí, la caja se hace pasar por el propio sistema del coche y se comunica con la aplicación OnStar para cosechar las credenciales del conductor. Un atacante puede entonces utilizar esas credenciales para imitar de manera efectiva la aplicación, dando órdenes al coche a través del sistema OnStar. Disponible como un servicio de suscripción, OnStar tiene 7 millones de suscriptores en los EE.UU. y China, y pasó su interacción mil millonésima parte del cliente a principios de este año.

El truco fue posible debido a la aplicación de OnStar no comprueba los certificados de cifrado falsos, permitiendo dispositivo de Kamkar para forjar sus propias credenciales para suplantar sistema a bordo del vehículo. Si se trató el mismo truco en Chrome, se obtendría la pantalla de advertencia de color rojo, pero debido a OnStar no está comprobando el certificado, el dispositivo de Kamkar es capaz de patinar a través desapercibido. La buena noticia para GM es que la vulnerabilidad podría ser fijado simplemente actualizando el sistema OnStar, instituir controles más estrictos certificat. Eso significa que a diferencia del truco Chrysler anunció la semana pasada, este error puede ser reparado fácilmente a través de una actualización del lado del servidor, por lo que es mucho menos peligroso.

7/30 11:45 AM: Actualizado con noticias de actualización de General Motors para proteger contra el ataque.