Investigadores han demostrado (video) cómo instalar spyware en el coche de alguien mediante un Sistema de Infoentretenimiento Vehicular (IVI) de terceros.
El Pioneer DMH-WT7600NEX es un IVI de repuesto de mil dólares, que normalmente se utiliza para instalar unidades principales en vehículos de consumo de la década de 2010. Sin embargo, conlleva un riesgo de BYOD (traiga su propio dispositivo) para el SUV familiar.
En Pwn2Own Automotive 2024, los investigadores de seguridad de NCC Group, Alex Plaskett y McCaulay Hudson, combinaron tres exploits Zero-Day para infiltrarse en el Pioneer DMH e instalar spyware capaz de extraer diversos datos: historiales de llamadas y navegación, contraseñas de Wi-Fi, geolocalización y más. Y como extraía todos esos datos en tiempo real, señala Hudson, "se podía observar a un conductor, por ejemplo, conduciendo por la calle y ver su ubicación GPS en movimiento. O, si estaba haciendo una llamada, se podía ver a quién la llamaba".
Los investigadores desglosaron su cadena de exploits en la conferencia Insomnihack en Lausana, Suiza, hoy, ahora que los problemas han sido corregidos. Sin embargo, advierten que aplicar el parche requiere un gran esfuerzo, lo que significa que muchos conductores probablemente sigan siendo vulnerables.
Cracking Pioneer IVI
El primer paso para hackear un DMH es establecer la adyacencia de red a través de un punto de acceso personal. Si un atacante logra conectarse, puede explotar un error de validación de certificado incorrecto (CVE-2024-23928, puntuación CVSS 6.5) en la aplicación telemática del DMH.
Hudson y Plaskett demostraron cómo funciona esto aprovechando la función de la aplicación para mostrar información sobre el equipo deportivo favorito de un piloto. El programa extrae datos deportivos conectándose a un servidor Gracenote de terceros, pero no valida correctamente la legitimidad del dominio al que se conecta. Por lo tanto, un atacante puede configurar su propio servidor haciéndose pasar por un sitio Gracenote, interceptar ese tráfico y manipularlo.
Agravando el problema está la vulnerabilidad CVE-2024-23929 (CVSS 7.3). Como explica Hudson, "en esta situación, una de las cosas que el sistema de infoentretenimiento intenta hacer es descargar las imágenes asociadas a los equipos, como su logotipo o estadio. Pero se pueden controlar los datos dentro de esa imagen; no tiene que ser una imagen real. Básicamente, puede ser cualquier archivo".
Con la capacidad de pasar archivos arbitrarios al DMH, el atacante ataca un archivo de configuración específico en su navegador web integrado. Colocan un archivo malicioso en este punto del dispositivo y luego utilizan una tercera vulnerabilidad para bloquearlo por completo (CVE-2024-23930, CVSS 4.3). Al reiniciar, el dispositivo ejecuta el archivo implantado en lugar del correcto.
Los investigadores utilizaron una memoria USB para cargar el archivo malicioso, pero, según Hudson, "podría haber otras formas de aprovechar la vulnerabilidad de escritura de archivos para ejecutar código sin necesidad de una memoria USB. Para la competencia, simplemente explotamos la primera y más sencilla ruta que encontramos".
El mayor obstáculo en la cadena de ataque es el acceso físico necesario para insertar la memoria USB y establecer la conexión de punto de acceso desde el principio. Aunque parezca poco realista para un transeúnte delincuente, es totalmente plausible en diversos escenarios de ataque, como "los pasajeros de cualquier vehículo de uso público —como taxis, coches de alquiler, etc.— o alguien que espía a su cónyuge ya tendrían acceso físico", afirma Hudson. También señala que los vendedores de segunda mano pueden infectar dispositivos antes de venderlos, eliminando la necesidad de un ataque remoto.
Los conductores siguen en riesgo
Las tres vulnerabilidades descubiertas por los investigadores han sido corregidas a partir de la versión 3.06 de Pioneer DMH. Sin embargo, actualizar un complemento de IVI no es tan sencillo como actualizar un programa normal en la computadora.
"Algunos proveedores buscan actualizaciones en internet y simplemente preguntan cuándo se deben instalar", afirma Plaskett. Este no es el caso. Actualizar este IVI es bastante difícil. Hay que ir al sitio web, descargar el firmware manualmente, guardarlo en una memoria USB, conectarlo al IVI y pulsar los botones necesarios para instalarlo. También se puede hacer a través de la aplicación móvil, pero es necesario tenerla instalada. Y si no se sabe si hay una actualización de seguridad, es posible que se decida no instalarla.
Fuente: DarkReading