Vulnerabilidades de seguridad en el portal web de un fabricante de automóviles permiten que un hacker desbloquee vehículos de forma remota desde cualquier ubicación.
El investigador de seguridad Eaton Zveare informó que las vulnerabilidades que encontró en el portal centralizado de concesionarios de la automotriz permitían un acceso amplio a la información de los clientes y sus vehículos. Según Zveare, con este acceso podría hacerse con el control del cuenta de un cliente de forma remota y desbloquear sus automóviles, entre otras acciones.
Un investigador de seguridad ha revelado que fallos en un portal de venta online de una conocida marca de automóviles expusieron información privada y datos de los vehículos de sus clientes, permitiendo potencialmente que hackers pudieran infiltrarse de manera remota en cualquier coche de la marca. Eaton Zveare, profesional en el área de seguridad en la empresa de software Harness, compartió detalles sobre un error que permitió la creación de una cuenta de administrador, la cual daba acceso ilimitado al portal centralizado de la marca automotriz.
Con este acceso, un atacante tendría la capacidad de ver datos personales y financieros de los clientes, rastrear vehículos y, de ser necesario, inscribir a los usuarios en funciones que permiten controlar ciertas funciones del automóvil desde cualquier lugar. Aunque Zveare no reveló el nombre del fabricante, aseguró que se trata de una compañía muy conocida, con varias sub-marcas populares.
En una entrevista previa a su ponencia en la conferencia de seguridad Def Con en Las Vegas, Zveare explicó que estos errores destacan la vulnerabilidad de los sistemas de concesionario, que otorgan a empleados y asociados un acceso amplio a la información de los clientes y vehículos. Zveare, quien anteriormente había identificado fallas en sistemas de atención al cliente y gestión de vehículos de otras marcas, descubrió esta vulnerabilidad durante un proyecto que realizó recientemente.
El investigador explicó que, aunque encontrar los problemas en el sistema de inicio de sesión fue complicado, una vez identificado, gracias a los errores pudo eludir completamente el mecanismo de inicio de sesión, creando así una nueva cuenta de "administrador nacional". Los problemas radicaban en un código defectuoso que se cargaba en el navegador del usuario al abrir la página de inicio de sesión del portal, lo que permitió a Zveare modificar el código y eludir las verificaciones de seguridad.
Según Zveare, el fabricante no encontró evidencia de que la vulnerabilidad hubiera sido explotada anteriormente, lo que sugiere que fue él quien la descubrió y reportó. Una vez conectado, la cuenta le otorgó acceso a más de 1,000 concesionarios de la marca en EE. UU., lo que le permitió revisar datos sensibles de los concesionarios sin ser detectado. Encontró, por ejemplo, una herramienta nacional de búsqueda de consumidores que permitía obtener datos de vehículos y conductores derivados del portal, lo que le permitió identificar a un propietario de automóvil utilizando solo el número de identificación del vehículo que tomó en un estacionamiento público.
Además, Zveare explicó que pudo asociar cualquier vehículo con una cuenta móvil, permitiendo a los clientes controlar funciones del automóvil a través de una aplicación móvil. En un experimento con el consentimiento de un amigo, logró transferir la propiedad a su control simplemente con una declaración de legitimidad, que consideró alarmante, ya que podría realizar este procedimiento con el nombre de cualquier persona.
El investigador también mencionó que no probó si podía conducir el vehículo, pero destacó que esta vulnerabilidad podría ser aprovechada por ladrones para entrar a los automóviles y robar objetos. Otra preocupación relacionada con el acceso a este portal es que permitía a los usuarios acceder a otros sistemas de concesionarios vinculados mediante un inicio de sesión único, lo que facilita la navegación entre diferentes sistemas.
Zveare indicó que el sistema de concesionarios era altamente interconectado, lo que generaba riesgos de seguridad. En su exploración del portal, localizó información identificable de clientes, algunos datos financieros, y sistemas de telemática que permitían rastrear en tiempo real la ubicación de vehículos de alquiler o cortesía. Informó que los errores identificados fueron reparados aproximadamente una semana después de su notificación al fabricante.
El investigador concluyó destacando que la vulnerabilidad principal se debía a errores simples relacionados con la autenticación. "Si se cometen fallos en este aspecto, todo puede venirse abajo", enfatizó Zveare.
