Vulnerabilidad permite a hackers tomar controlar remoto de un Jeep Cherokee


 

JeepUn fallo de seguridad en Uconnect (el sistema de conectividad de la marca Chrysler) permite a un atacante tomar el control remoto de un Jeep Cherokee, según ha podido comprobar un equipo de Wired.

En una demostración en vivo los hackers utilizan la vulnerabilidad para regular el clima, encender la radio con el volumen al máximo o activar los limpiaparabrisas.

Pero no se quedan ahí, también cortan la transmisión y los frenos de un Jeep Cherokee. Todo ello de forma remota, sin acceso físico al vehículo, a kilómetros de distancia y sin que el conductor pueda hacer nada.

El sistema Uconnect utiliza la red del operador Sprint, circunstancia que permite a los hackers localizar de forma remota los coches con escaneos.

No parece que haya ningún cortafuegos, así que una vez localizada la IP del dispositivo pueden entrar en el sistema, reescribir el firmware de Uconnect con su código y controlar el coche como si tuvieran acceso físico.

No necesitan estar cerca del vehículo, una vez consiguen la IP pueden decidir el destino del coche afectado desde cualquier lugar de Estados Unidos.

A pesar de que las pruebas se han realizado en un Jeep Cherokee los investigadores Charlie Miller y Chris Valasek dicen que su sistema tiene potencial para funcionar en cualquier vehículo Chrysler con Uconnect.

La marca lleva usando este sistema de conectividad desde finales del 2013 y se estima que puede haber un máximo de 471 mil coches vulnerables.

Afortunadamente Miller y Valasek avisaron a Chrysler de su descubrimiento y han estado trabajando con el fabricante para solucionar el fallo de seguridad.

A la marca no le ha hecho mucha gracia que ambos investigadores publicaron su descubrimiento, pero gracias a ellos el pasado 16 de julio liberaron un parche para solucionar la vulnerabilidad.

El problema es que debe ser instalado de forma manual mediante un USB o hacerlo en el concesionario.

Miller y Valasek mostrarán la vulnerabilidad el próximo mes durante la Defcon que se celebra en Las Vegas, pero se reservarán los detalles cruciales para que nadie pueda explotar el error a gran escala.

Fuente: Wired

Y tú, ¿qué opinas?

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s