miércoles, 24 de abril de 2019

Consiguen hackear coches a través del GPS: pueden apagar el motor en plena circulación


El GPS se ha convertido en una parte imprescindible de nuestros coches cuando vamos de viaje. Sin embargo, conforme los coches se van haciendo más inteligentes, más hace falta proteger esos sistemas. Y si el desarrollo se realiza por una empresa china, la seguridad que podemos esperar de ellos es similar a las cámaras de seguridad baratas que usan contraseñas como 123456.

Un Hacker ha conseguido acceder a datos de miles de conductores e incluso a poder apagar su motor


Las dos aplicaciones afectadas por este hack han sido iTrack y ProTrack, donde un hacker llamado L&M accedió a casi 30,000 cuentas entre ambas apps. Estas aplicaciones se utilizan para rastrear y monitorizar flotas de vehículos compartidos por parte de empresas de carsharing. A través de la vulnerabilidad, consiguió conocer la ubicación en tiempo real de esos coches, además de poder incluso apagar el motor de ellos cuando iban en circulación a velocidades inferiores a 20 km/h o cuando están parados.

El hacker le hizo ingeniería inversa a las apps, y se dio cuenta de que las empresas estaban usando la contraseña por defecto de 123456 para acceder a la aplicación. Por ello, el hacker probó por fuerza bruta millones de usuarios con esa contraseña, y creó un script para loguearse. Gracias a ello consiguió acceder a miles de cuentas que usaban esa contraseña y extraer información.



Entre todos los datos a los que accedió se encuentran: nombre y modelo del dispositivo de seguimiento GPS usado, IMEI, nombre de usuario, nombre real, teléfono, email y dirección de sus casas. Como decíamos, también podía parar el motor de esos coches, pero no lo hizo por motivos de seguridad. Así lo confirmó la propia empresa fabricante.

Las empresas han pagado al hacker con tal de que dejen de hackearlas


ProTrack, la aplicación con más usuarios afectados, fue creada por iTryBand Technology, una empresa de Shenzhen (China). A su vez, iTrack fue creada por SEEWWORLD, con sede en Guangzhou (China). Ambas empresas venden hardware de rastreo a las empresas de vehículos compartidos, las cuales gestionan la información en la nube. Esos dispositivos luego son distribuidos a los usuarios de las plataformas.

A raíz de esto, la empresa ha enviado emails y mensajes a través de la app a sus clientes para que cambien sus contraseñas, pero no están forzando todavía este cambio de credenciales. El hacker contactó con las empresas, y les pidió dinero a cambio de ayudarles a resolver el problema de seguridad, a lo cual accedió al menos una de esas empresas.

Este tipo de hackeos no hacen más que ponernos en alerta sobre la seguridad que han de tener los coches autónomos en todos sus aspectos, ya que el hecho de que cualquiera pueda controlar el coche de manera remota es un peligro para la seguridad. Recientemente 16 personas fueron arrestadas por hackear y robar 100 coches de lujo de Car2Go aprovechando una vulnerabilidad.