Imagine que es suficiente para mirar el parabrisas de un automóvil para evaluar su número de marco -A un código de 17 caracteres visible desde el exterior, colóquelo en una herramienta interna, encuentre el nombre del propietario y lo encuentre y lo encuentre. Enlace este vehículo con una cuenta móvil. Desde allí, puede desbloquear las puertas de la puerta desde una aplicación oficial sin tocar una cerradura o forzar algo.
Eso es justo Lo que demostró un investigador de seguridad cibernética Después del acceso al portal interno, que utiliza los concesionarios de una gran marca de automóviles. No hablamos de un ataque contra usuarios o funcionarios, sino de una brecha en la plataforma comercial que conecta al fabricante con su red de ventas. Una puerta trasera con acceso a funciones conectadas y datos personales.
El fracaso no estaba en el auto, sino en la cadena que combina todo
Detrás de este conocimiento está Eaton ZveareLas debilidades en las plataformas digitales para grandes marcas, especialmente en el sector automotriz, se han llevado a cabo durante años. Esta vez no fue diferente. Zveare descubrió que el portal web interno de un Marca de autos bien conocida Puede cambiar el comportamiento del sistema del navegador mismo. En particular, fue posible cambiar el código paralelo de registro para omitir las verificaciones de seguridad y crear una cuenta de administrador con autorizaciones nacionales. Con esta cuenta, el acceso ha cubierto más de 1,000 concesionarios en los Estados Unidos.
A partir de ahí, la dimensión del problema cambió por completo. No se trataba solo de acceder a los recursos internos de un concesionario. La cuenta que generó dio acceso al sistema completo: pude ver los datos de todos los concesionarios conectados, actuar en nombre de otros usuarios sin conocer su información de inicio de sesión y, para acceder a las herramientas más sensibles, a las herramientas con las que podrían consultar Información sobre vehículos y sus dueños. Todo esto de una plataforma que está teóricamente reservada para expertos en la industria.
Zveare no ha forzado nada, ningún software malicioso instalado o atacado desde el exterior. Lo que encontró era una puerta mal cerrada en un sistema legítimo. La mayor preocupación es que esta puerta no solo le permitió entrar: desde el interior, ofreció una serie de herramientas que nadie debería controlar tan fácilmente fuera del fabricante.
En los Estados Unidos, las leyes que regulan los vehículos varían según el estado, pero un principio común: en muchos de ellos ,,,,,, Los fabricantes no pueden vender autos nuevos directamente al consumidor. Está obligado a hacerlo por distribuidores independientes que están legalmente protegidos contra la competencia directa del fabricante. Esto ha llevado a una estructura de red de franquicias que Agrupe miles de puntos de venta y después de la venta.
Tesla trató de desactivar y vender este modelo, pero no fue fácil. Aunque lo ha logrado en algunos países, todavía encuentra restricciones legales en muchos otros que le impiden vender vehículos directamente o incluso entregarlos directamente. Su caso es la excepción más visible, pero no la norma.
Lo más sensible no es que este sistema haya mostrado información confidencial. Lo serio es que puede actuar con altos privilegios como si fuera parte de la estructura oficial del fabricante. A partir de ahí, fue posible hacerse cargo de las identidades de otros empleados, intervenir en todo el país o acceder a funciones diseñadas exclusivamente para técnicos autorizados.
El portal fue desarrollado para dar movilidad a la red de distribuidores, no para resistir el acceso malicioso desde el interior
Como decimos anteriormente, cada automóvil tiene un número de marco claro. Es un código de 17 caracteres, correcto y números, que sirve para identificarlo legalmente en todo el mundo.
Lo que el controlador promedio probablemente no imagina es que este código es visible desde el exterior y en la base del parabrisas y que era la clave de entrada en el contexto de este caso. En una prueba real, Zveare contrató una vinculación visible desde el exterior y recibió el nombre del propietario.
Zveare no ha intentado conducir vehículos ni cambiar su configuración física. Pero con el control que tenía, ábralo a cierta distancia y vacíe el interior perfectamente posible.
Hoy, No se publicó el nombre del fabricante afectado. Y no es porque nadie lo sepa. El investigador que descubrió la vulnerabilidad sabe qué marca estaba detrás del portal comprometido ha decidido mencionarlo en su informe o sin mencionar o Durante su presentación actual con. Todavía TechCrunch, el primer medio que repitió el caso, mostró la identidad del fabricante.
No es tan inusual. En algunos casos, los investigadores eligen mantener el anonimato de la precaución involucrada, incluso si la vulnerabilidad ya se ha corregido para evitar que los terceros estén en riesgo: los concesionarios, empleados o clientes que aún dependen de este sistema. También puede influir en el hecho de que la plataforma en peligro habilitó el acceso a redes enteras y ningún servidor aislado.
Fotos | con Géminis 2.5 Lightning
En | Bugatti decidió no llevar a los altavoces a un automóvil de cuatro millones de euros. Su secreto es una tecnología de 1881