Se han encontrado importantes fallas de seguridad en Mercedes, Ferrari y otros autos de lujo que podrían haber permitido a los actores de amenazas robar información de identificación personal de los propietarios, rastrear sus vehículos y, en algunos casos, incluso desbloquear y encender los autos.
Casi dos docenas de marcas de automóviles se vieron afectadas por las fallas, incluidas las principales marcas como BMW, Roll Royce, Mercedes-Benz, Ferrari, Porsche, Jaguar, Land Rover, Ford, KIA, Honda, Infiniti, Nissan, Acura, Hyundai, Toyota y Génesis.
Además de los fabricantes de automóviles, los fabricantes de tecnología automotriz Spireon y Reviver también se vieron afectados, así como los proveedores de servicios de transmisión, SiriusXM.
Acceso a datos privados
Las fallas fueron descubiertas por el investigador de seguridad cibernética Sam Curry, quien tiene un historial de descubrimiento de fallas de seguridad en autos conectados. A principios de diciembre de 2022, descubrió una falla en SiriusXM que permitía a los actores de amenazas acceder a vehículos conectados.
En este caso, diferentes fabricantes tenían diferentes vulnerabilidades. BMW y Mercedes-Benz tenían una función de inicio de sesión único (SSO) defectuosa que permitía a los actores de amenazas acceder a los sistemas internos, dándoles acceso a instancias de GitHub, chats privados, servidores, instancias de AWS y más.
Con BMW, los posibles atacantes podrían haber obtenido acceso a los portales internos de los concesionarios, los números VIN de los automóviles y los documentos de ventas con detalles confidenciales del propietario.
Además de las dos marcas principales, los propietarios de automóviles KIA, Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Hyundai, Genesis, BMW, Roll Royce, Ferrari, Ford, Porsche y Toyota podrían haber tenido su información de identificación personal (PII ) filtrado.
Ferrari también se vio muy afectado, ya que la falla de SSO permitió a los actores de amenazas acceder, modificar o eliminar cualquier cuenta de cliente de Ferrari. Incluso podrían haberse establecido como propietarios de automóviles. Con Porsche, las fallas en sus sistemas telemáticos permitieron a los actores de amenazas identificar la ubicación exacta de los autos e incluso enviar comandos a los vehículos.
Todos los proveedores afectados fueron notificados de los hallazgos y desde entonces han corregido las fallas.
El proveedor de seguimiento de vehículos GPS Spireon, supuestamente utilizado en más de 15 millones de vehículos, tenía una falla que, entre otras cosas, permitía a los actores de amenazas desbloquear los autos, arrancar el motor o desactivar el motor de arranque.
Para protegerse contra tales fallas en el futuro, los investigadores sugieren que los propietarios de vehículos almacenen la menor cantidad posible de información personal en los vehículos y en las aplicaciones móviles complementarias.
Vía: BleepingComputer (se abre en una pestaña nueva)