GM corrige, repara el hack de OnStar RemoteLink

OnStar de GM sigue a UConnect de Chrysler como un servicio telemático hackeable probado . En el caso de GM, el truco involucró la creación de una falsificación de la aplicación de teléfono inteligente OnStar RemoteLink y la emisión de comandos al automóvil, como abrir las puertas de forma remota. Ninguno involucró ataques a las funciones de dirección o frenado de un automóvil que estaba en marcha. General Motors emitió rápidamente una solución a sus servidores OnStar, declaró que el problema estaba resuelto y luego descubrió que los dispositivos iOS aún eran vulnerables.



GM parcheó la aplicación OnStar a fines de la semana pasada y dijo que los usuarios necesitarían descargar una nueva versión a través de la App Store de Apple. La aplicación RemoteLink permite al usuario bloquear y desbloquear de forma remota su automóvil, encender el motor, hacer sonar la bocina y mostrar su ubicación.

Vulnerabilidad publicada, corregida en días

Logotipo del botón OnStarEl investigador de seguridad Sammy Kamkar mostró la semana pasada cómo creó un dispositivo de $ 100 que se hacía pasar por un punto de acceso WiFi seguro. Si el propietario inicia su aplicación RemoteLink dentro del alcance de la caja de Kamkar, llamada 'OwnStar' y que contiene una computadora Raspberry Pi y tres radios pequeñas, el teléfono puede conectarse con OwnStar y transferir las credenciales del usuario. De acuerdo a Cableado , que funcionó con Kamkar, RemoteLink usa cifrado SSL (bueno) pero no verificó que estuviera hablando con un servidor OnStar genuino (malo).



Kamkar dijo que habló con GM el miércoles pasado (29 de julio) y en un día Wired publicó la historia, GM emitió un parche inicial, Kamkar dijo que es un buen tipo tratando de señalar las vulnerabilidades de los autos conectados / Internet de las cosas, y GM emitió un “ nos tomamos muy en serio la seguridad de nuestros clientes ”. También dijo que el problema se resolvió parcheando el servidor. Kamkar dijo que GM solucionó el problema del teléfono Android con un parche en el software del servidor, pero no en iOS, GM estuvo de acuerdo y actualizó la aplicación RemoteLink para dispositivos Apple. GM detuvo el acceso a iOS RemoteLink, requiriendo que los usuarios descarguen una nueva versión para seguir usándola.



ONSTAR_UTILITY_GRID

Lo que podría perder con un hack de RemoteLink

RemoteLink es principalmente una aplicación de conveniencia para conductores que no pueden recordar si cerraron el auto cuando entraron al centro comercial. Ya existen varias salvaguardias. Los servicios RemoteLink incluyen varios que están en el mando del propietario, pero ahora funciona desde cualquier lugar, no solo dentro de 50-100 yardas. El acceso RemoteLink incluye:

  • Bloqueo remoto, desbloqueo remoto. Especialmente útil si guardó las llaves dentro del automóvil y también si su automóvil está en el Paseos de relevo programa de uso compartido de automóviles entre pares. El propietario bloquea las llaves dentro del automóvil y el inquilino, utilizando una aplicación Relay Rides separada (¿me pregunto si Kamkar lo ha comprobado?), Localiza y desbloquea el automóvil.
  • Inicio remoto, cancelar inicio. El automóvil arranca de forma remota y se calienta o se enfría a los controles de temperatura preestablecidos. El automóvil no se puede conducir sin el llavero presente. Tampoco la lata puede estar inactiva sin supervisión durante más de 10 minutos para evitar desperdiciar energía.
  • Localiza el auto. Vea el automóvil en un mapa, acerque para ver su ubicación exacta.
  • Bocina, luces de flash.
  • EV, carga híbrida. Vea el estado de la carga, establezca una hora para comenzar a cargar o establezca una hora en la que la carga debe completarse. También precaliente o preenfríe el automóvil utilizando electricidad doméstica en lugar de las baterías o el motor.
  • Información de la cuenta de usuario de OnStar, incluido el tipo y nombre del automóvil, información del propietario e información parcial de la tarjeta de crédito (últimos cuatro dígitos, fecha de vencimiento).

Lo que podría perder con un hack de RemoteLink

Según las fallas de RemoteLink, lo peor que podría suceder sería que un ladrón pudiera vaciar su automóvil de sus objetos de valor. Aunque alguien lo suficientemente inteligente como para desbloquear su automóvil de manera remota probablemente pueda perseguir objetivos más grandes que una bolsa para computadora portátil y las viejas bolsas de McDonald's en el piso del asiento trasero.



Kamkar detallará el truco OwnStar esta semana en el DefCon conferencia en Las Vegas. Con suerte, sus hazañas harán que la industria automotriz piense en lo que debe hacer. A los propietarios les gusta la conveniencia del control remoto de los aspectos de seguridad del automóvil, por ejemplo, verificar dos veces que cerró el automóvil con llave cuando se registró en su hotel y dejó el automóvil en un estacionamiento más allá del alcance del botón de bloqueo del llavero. Los propietarios de vehículos eléctricos quieren saber si su Volt o Prius está completamente cargado y también si realmente enchufaron el automóvil cuando se apresuraron a entrar a la casa.

Las aplicaciones remotas de propietarios más sofisticados pueden encontrar lugares de estacionamiento y negociar precios. Ellos pueden decirle la fecha de vencimiento del contrato de arrendamiento. Los fabricantes de automóviles pueden enviar avisos de retiradas y cupones de descuento.

Lo que queda claro del hackeo de Chrysler (que llevó a 1,4 millones de retiros) y ahora del hack de GM RemoteLink es que los fabricantes de automóviles deben pensar más seriamente en la seguridad de las conexiones remotas. Parece que el problema de seguridad de GM no fue pensar en algunas de las formas obvias en que se podría explotar el automóvil. Las mismas personas que nunca conectaron conscientemente su tableta en una cafetería del centro a un punto de acceso llamado Free_WiFi no pensaron en eso cuando se trataba de los autos que son responsables de construir.



Esta fue una solución relativamente fácil, al menos en el lado de Android, y una molestia menor en el lado de Apple. También sugiere que los fabricantes de automóviles deben evolucionar hacia software inalámbrico y actualizaciones de seguridad, una vez que se sientan cómodos, el enlace OTA es seguro. Cuando Ford tuvo problemas con Ford Sync, el Posibilidades de parche de sincronización fueron a) enviar al propietario una llave USB con la solución ob) hacer que el cliente pase 90 minutos agradables en el concesionario. En comparación, Tesla envía sus actualizaciones por aire. Tesla se beneficia de la mentalidad de sus compradores conocedores de la tecnología, que esperan actualizaciones de OTA. Otros propietarios de otras marcas aún pueden temer a la tecnología. Los trucos de Chrysler, GM y quién es el próximo no los tranquilizarán.

Copyright © Todos Los Derechos Reservados | 2007es.com