Investigadores han demostrado (video) cómo instalar spyware en el coche de alguien
mediante un Sistema de Infoentretenimiento Vehicular (IVI) de terceros.
El Pioneer DMH-WT7600NEX es un IVI de repuesto de mil dólares, que normalmente
se utiliza para instalar unidades principales en vehículos de consumo de la
década de 2010. Sin embargo, conlleva un riesgo de BYOD (traiga su propio
dispositivo) para el SUV familiar.
En
Pwn2Own Automotive 2024, los investigadores de seguridad de NCC Group, Alex Plaskett y McCaulay
Hudson,
combinaron tres exploits Zero-Day para infiltrarse en el Pioneer DMH e
instalar spyware
capaz de extraer diversos datos: historiales de llamadas y navegación,
contraseñas de Wi-Fi, geolocalización y más. Y como extraía todos esos datos
en tiempo real, señala Hudson,
«se podía observar a un conductor, por ejemplo, conduciendo por la calle y
ver su ubicación GPS en movimiento. O, si estaba haciendo una llamada, se
podía ver a quién la llamaba».
Los investigadores
desglosaron su cadena de exploits en la conferencia Insomnihack
en Lausana, Suiza, hoy, ahora que los problemas han sido corregidos. Sin
embargo, advierten que aplicar el parche requiere un gran esfuerzo, lo que
significa que muchos conductores probablemente sigan siendo vulnerables.
Cracking Pioneer IVI
El primer paso para hackear un DMH es establecer la adyacencia de red a través
de un punto de acceso personal. Si un atacante logra conectarse, puede
explotar un error de validación de certificado incorrecto (CVE-2024-23928,
puntuación CVSS 6.5) en la aplicación telemática del DMH.
Hudson y Plaskett demostraron cómo funciona esto aprovechando la función de la
aplicación para mostrar información sobre el equipo deportivo favorito de un
piloto. El programa extrae datos deportivos conectándose a un servidor
Gracenote de terceros, pero no valida correctamente la legitimidad del dominio
al que se conecta. Por lo tanto, un atacante puede configurar su propio
servidor haciéndose pasar por un sitio Gracenote, interceptar ese tráfico y
manipularlo.
Agravando el problema está la vulnerabilidad CVE-2024-23929 (CVSS 7.3). Como
explica Hudson,
«en esta situación, una de las cosas que el sistema de infoentretenimiento
intenta hacer es descargar las imágenes asociadas a los equipos, como su
logotipo o estadio. Pero se pueden controlar los datos dentro de esa imagen;
no tiene que ser una imagen real. Básicamente, puede ser cualquier
archivo».
Con la capacidad de pasar archivos arbitrarios al DMH, el atacante ataca un
archivo de configuración específico en su navegador web integrado. Colocan un
archivo malicioso en este punto del dispositivo y luego utilizan una tercera
vulnerabilidad para bloquearlo por completo (CVE-2024-23930, CVSS 4.3). Al
reiniciar, el dispositivo ejecuta el archivo implantado en lugar del correcto.
Los investigadores utilizaron una memoria USB para cargar el archivo
malicioso, pero, según Hudson,
«podría haber otras formas de aprovechar la vulnerabilidad de escritura de
archivos para ejecutar código sin necesidad de una memoria USB. Para la
competencia, simplemente explotamos la primera y más sencilla ruta que
encontramos».
El mayor obstáculo en la cadena de ataque es el acceso físico necesario para
insertar la memoria USB y establecer la conexión de punto de acceso desde el
principio. Aunque parezca poco realista para un transeúnte delincuente, es
totalmente plausible en diversos escenarios de ataque, como
«los pasajeros de cualquier vehículo de uso público —como taxis, coches de
alquiler, etc.— o alguien que espía a su cónyuge ya tendrían acceso
físico», afirma Hudson. También señala que los vendedores de segunda mano pueden
infectar dispositivos antes de venderlos, eliminando la necesidad de un ataque
remoto.
Los conductores siguen en riesgo
Las tres vulnerabilidades descubiertas por los investigadores han sido
corregidas a partir de la versión 3.06 de Pioneer DMH. Sin embargo, actualizar
un complemento de IVI no es tan sencillo como actualizar un programa normal en
la computadora.
«Algunos proveedores buscan actualizaciones en internet y simplemente
preguntan cuándo se deben instalar», afirma Plaskett. Este no es el caso. Actualizar este IVI es bastante
difícil. Hay que ir al sitio web, descargar el firmware manualmente, guardarlo
en una memoria USB, conectarlo al IVI y pulsar los botones necesarios para
instalarlo. También se puede hacer a través de la aplicación móvil, pero es
necesario tenerla instalada. Y si no se sabe si hay una actualización de
seguridad, es posible que se decida no instalarla.
Fuente:
DarkReading