Un fallo de seguridad en el software de los automóviles Subaru permite a los piratas informáticos el acceso total a los vehículos
A medida que la industria automovilística se vuelve más inteligente y está más conectada, crece el número de vulnerabilidades de seguridad. Un nuevo informe detalla lo vulnerables que pueden ser los coches conectados.
Un investigador de seguridad llamado Sam Curry publicó recientemente un artículo en su blog en el que detalla cómo él y un colega (Shubham Shah) fueron capaces de comprometer el sistema de software Starlink utilizado por los coches Subaru. Starlink alimenta el centro de infoentretenimiento de los vehículos Subaru y permite a los usuarios controlar a distancia sus coches registrados, lo que puede incluir bloquear/desbloquear el vehículo y arrancarlo a distancia.
Curry explicó que un exploit en la página de inicio de sesión de los empleados de Subaru para el sistema Starlink le permitió identificar una dirección de correo electrónico válida de un empleado, cambiar su contraseña y eludir cualquier tipo de autenticación de dos factores para iniciar sesión.
Una vez dentro del sistema Starlink, Curry se dio cuenta de que podía localizar cualquier vehículo Subaru registrado a través de uno de los siguientes datos: nombre del cliente, número de teléfono, dirección de correo electrónico o número de identificación del vehículo (VIN). (Tenga en cuenta que los VIN se pueden encontrar fácilmente a través de una matrícula.) Una vez encontrado un coche, toda esta información estaba lista para ser utilizada. Otra información disponible incluía datos de facturación, contactos de emergencia y mucho más.
No sólo se podía acceder fácilmente a estos datos personales, sino que el historial de localización del vehículo durante el último año también estaba disponible y, según Curry, era fácil de descargar y trazar. Estos datos de localización incluían una marca de tiempo, el cuentakilómetros del vehículo y las coordenadas GPS (con una precisión de unos 15 pies o 5 metros).
Quizá lo más alarmante fue que Curry pudo encontrar el coche de un amigo en la base de datos y añadir sus credenciales personales como usuario autorizado de Starlink a ese vehículo. Una vez añadido, pudo controlar el coche a distancia. Esto le permitió bloquear y desbloquear el coche, arrancarlo a distancia y determinar su ubicación. El usuario de Starlink afectado no recibió ninguna notificación de que se había añadido otro usuario a la cuenta Starlink del coche.
Subaru parece haber parcheado desde entonces la vulnerabilidad, que Curry descubrió en noviembre de 2024. En su haber, el fabricante de automóviles emitió un parche en las 24 horas siguientes a la recepción del informe de Curry. El post de Curry sirve como recordatorio de que, por muy inteligentes que sean nuestros coches, aún pueden ser bastante vulnerables a los ladrones y otros actores maliciosos.
Fuente(s)
