Hacker localiza, desbloquea y enciende remótamente autos GM

Un hacker ha publicado un video que demuestra cómo se puede utilizar un dispositivo móvil para interceptar el sistema OnStar de GM a través de la aplicación móvil de la misma.

Computerworld | Lucas Mearian

Un investigador de seguridad ha publicado un video en YouTube que muestra cómo un dispositivo de su misma creación puede interceptar las comunicaciones inalámbricas para localizar, desbloquear y arrancar a distancia vehículos de GM que utilizan la aplicación móvil OnStar RemoteLink.

Samy Kamkar, quien se refiere a sí mismo como un hacker y denunciante, publicó el video donde se muestra utilizando un dispositivo que él llama OwnStar. El dispositivo, dijo, intercepta las comunicaciones entre los GM de la aplicación móvil Onstar RemoteLink y el servicio en la nube de OnStar.

screen shot 2015 07 30 at 4.08.36 pm
Samy Kamkar muiestra como, luego de vulnerar la aplicación móvil OnStar, es capaz de usarla para controlar un Chevy Volt.

El hack viene justo cuando se reveló otra vulnerabilidad en vehículos, la que se probó que modelos Fiat y Chrysler con versiones tempranas del sistema UConnect Infotainment el que podía ser accedido de forma electrónica. El sistema UConnectes utilizado para controlar funciones esenciales del vehículo. Los hackers fueron capaces de controlar los sistemas de aceleración del vehículo, de frenado e ignición, entre otros.

Después de que el hack se hizo público, Fiat Chrysler Automobiles (FCA) emitió un aviso parar retirar 1.4 millones de vehículos con el fin de solucionar dicha vulnerabilidad en el software que permite a los atacantes informáticos entrar de forma inalámbrica en los sistemas de algunos vehículos, y electrónicamente controlar las funciones vitales.

En Estados Unido, la Administración Nacional de Seguridad de Carreteras también planea investigar el asunto, y dos senadores de Estados Unidos también pidieron una investigación sobre el manejo del asunto que hizo Chrysler, que según ellos llegó nueve meses después de que la compañía supiera de la falla de seguridad.

OnStar es un servicio que GM ofrece a sus clientes para proporcionar seguridad del vehículo, llamadas manos libres, navegación paso a paso y el diagnóstico a distancia, por una suscripción.

RemoteLink, por su parte, es la aplicación móvil GM de OnStar que permite a los usuarios desbloquear y encender remotamente sus vehículos desde casi cualquier lugar. La aplicación también puede encender los faros, hacer sonar la bocina y gestionar un vehiculo equipado con Wi-Fi.

Kamkar dijo que después que un usuario abra la aplicación de conexión remota OnStar en su teléfono móvil “cerca del dispositivo OwnStar” OwnStar intercepta la comunicación y envía paquetes de datos “especialmente diseñados” al dispositivo móvil para adquirir credenciales adicionales. El dispositivo OwnStar luego notifica al atacante sobre el nuevo vehículo del cual el hacker tiene acceso por un período indefinido de tiempo, incluido su ubicación, marca y modelo. Y a ese punto, el hacker puede utilizar la aplicación de conexión remota para controlar el vehículo.

“Afortunadamente, el problema radica en el software móvil y no es un problema con los propios del vehículos”, dijo Kamkar. “GM y OnStar hasta ahora me han han sido receptivos y ya están trabajando rápidamente en una resolución para proteger a los consumidores.”

screen shot 2015 07 30 at 3.58.45 pm
A la izquierda se aprecia el dispositivo “OwnStar” que se utilizó para interceptar un teléfono cercano que utilice la aplicación móvil OnStar RemoteLink. Y a la derecha, el teléfono del propio Kamkar conectado a la aplicación de otro usuario.

Hasta que GM proporcione un parche de software, Kamkar sugirió que los propietarios de vehículos OnStar no abran la aplicación RemoteLink.

En una declaración a Computerworld, GM dijo que lleva los asuntos que afectan a la seguridad y la seguridad de sus clientes “muy en serio”.

“Los representantes de ciberseguridad de productos GM han revisado la vulnerabilidad potencial identificada recientemente. Al trabajar con el investigador, nos movimos rápidamente para asegurar nuestro sistema de back-office y reducir el riesgo”, la compañía declaró. “Sin embargo, acción futúra es necesaria en la aplicación RemoteLink en sí. Tomamos todos los asuntos cibernéticos en serio y una aplicación RemoteLink mejorada también estará disponible en las tiendas de aplicaciones pronto para mitigar totalmente el riesgo “.

Kamkar dijo que proporcionará detalles adicionales sobre el hack en la próxima conferencia de hacking Def Con, así como en su canal de YouTube y la página web.
La aplicación OnStar RemoteLink trabaja con Apple iOS, Android, BlackBerry y dispositivos móviles de Windows y ha sido descargada por más de 3 millones de personas, según el sitio web de OnStar.