Los investigadores de seguridad han descubierto múltiples vulnerabilidades en las unidades de información y entretenimiento utilizadas en algunos automóviles Skoda que podrían permitir a actores maliciosos activar de forma remota ciertos controles y rastrear la ubicación del automóvil en tiempo real. La empresa de ciberseguridad PC Automotive, especializada en el sector de la automoción, anunció 12 nuevas vulnerabilidades de seguridad que afectan al último modelo del sedán Superb III de Skoda en la conferencia Black Hat Europe de esta semana. El año anterior, el grupo anunció otras nueve vulnerabilidades que afectaban al mismo modelo de vehículo. Skoda es una marca de automóviles propiedad del gigante automovilístico alemán Volkswagen.
Danila Parnishchev, directora de evaluaciones de seguridad de PC Automotive, dijo que los piratas informáticos podrían unir estas vulnerabilidades y explotarlas para inyectar malware en los automóviles. Un atacante tendría que estar conectado a la unidad multimedia del Skoda Superb III a través de Bluetooth para explotar las vulnerabilidades, pero señaló: "El ataque se puede llevar a cabo dentro de un rango de 10 metros y no requiere autenticación".
Las vulnerabilidades se descubrieron en la unidad de infoentretenimiento MIB3 del automóvil, lo que permite a un atacante ejecutar código sin restricciones y ejecutar código malicioso cada vez que se inicia la unidad. Según PCAutomotive, esto podría permitir a un atacante obtener coordenadas GPS del vehículo en tiempo real y datos de velocidad, grabar conversaciones a través del micrófono del vehículo, tomar capturas de pantalla de la pantalla de información y entretenimiento y reproducir sonidos arbitrarios dentro del vehículo.
PCAutomotive verificó estas fallas en un Superb III, y también es posible que un atacante robe la base de datos de contactos del teléfono móvil del propietario si este ha habilitado la sincronización de contactos con el automóvil.
"Normalmente, los teléfonos móviles están encriptados, por lo que la base de datos de contactos no se puede extraer fácilmente, y la base de datos de contactos de los dispositivos de información y entretenimiento suele almacenarse en texto claro", dijo Parnishchev.
Parnishchev señaló que no han encontrado una manera de eludir las restricciones de la red de acceso a los controles del vehículo críticos para la seguridad, como el volante, los frenos y el acelerador.
PCAutomotive compartió el informe antes de una nota de investigación publicada el jueves que indica que las unidades MIB3 vulnerables se utilizan en múltiples modelos de Volkswagen y Skoda, con estimaciones de que la cantidad de vehículos vulnerables podría superar los 1,4 millones según los datos de ventas públicas.
Si se tiene en cuenta el mercado de repuestos, es probable que el número de vehículos vulnerables sea mucho mayor. "Si busca un número de pieza en eBay, lo encontrará", explicó. "Si el usuario anterior no lo eliminó, su base de datos de contactos seguirá ahí".
Volkswagen parchó las vulnerabilidades después de que fueran reportadas a través del Programa de Divulgación de Ciberseguridad de la compañía;
El portavoz de Skoda, Tom Drechsler, dijo en un comunicado enviado por correo electrónico: "Las vulnerabilidades reportadas en el sistema de información y entretenimiento han sido y están siendo abordadas y eliminadas mediante una gestión de mejora continua del ciclo de vida del producto. En ningún momento hubo ninguna amenaza a la seguridad de los clientes o de los vehículos".