R:"¿Quiere decir que le robaron su coche con entrada sin llave a pesar de la alarma?" B:"No, me robaron el coche debido a mi alarma. "¿Tiene esto algún sentido? Lo tendría si leyeras acerca de los hallazgos de una empresa de seguridad del Reino Unido cuando investigaron las alarmas de automóviles de terceros.

En breve, Se encontraron agujeros de seguridad en alarmas de terceros que aparecían en autos familiares de marca. Sí, estaban hablando de esas alarmas que ofrecen evitar que los autos sean secuestrados. Tienen la opción de que una persona encienda el automóvil desde una aplicación de teléfono inteligente. ¿Estás pensando en lo que estamos pensando? ¿Aplicación para smartphone? Con una aplicación de alarma insegura, los investigadores pudieron (1) activar las alarmas de los automóviles, (2) desbloquee las puertas del automóvil y (3) arranque el motor.

Los investigadores de seguridad explotaron las marcas que podían dejar la puerta abierta (una broma adecuada) para arrebatar el control. Vieron una serie de debilidades en dos productos de alarma probados. Estos incluyeron los hallazgos de que el automóvil podría estar geolocalizado en tiempo real, se puede identificar el tipo de coche, podría arrancar el motor de forma remota y, en algunos casos, el motor podría apagarse.

La investigación se llevó a cabo para el programa de tecnología Click de la BBC por Pen Test Partners, con sede en el Reino Unido, en el negocio de descubrir fallas de software a través de pruebas de penetración y servicios de seguridad. Ellos desembolsaron $ 5, 000 para comprar y montar las alarmas inteligentes para coches.

Un video en BBC News mostró a dos piratas informáticos esperando para hacer su movimiento en un automóvil elegido, luego atrapado. La víctima en el auto negro no tenía idea (recreada) de lo que estaba a punto de suceder. La alarma de pánico del coche se disparó, haciendo que el conductor se detenga. Y luego, en un carro pequeño detrás del carro de la víctima, los atacantes salieron y tomaron el control de las cerraduras de las puertas.

Sal del coche. Dame tus llaves.

El equipo se puso en contacto con los proveedores involucrados y les dio 7 días para eliminar o reparar las API vulnerables. Afortunadamente, las empresas respondieron a la exposición y han mejorado la seguridad para eliminar las fallas.

Un representante del Reino Unido en una de las empresas respondió en aproximadamente 48 horas y su otra oficina tomó medidas rápidamente. La solución fue de la noche a la mañana; la otra empresa también tenía una solución.

Pen Test Partners evaluó las reacciones de los proveedores, diciendo que "la respuesta de ambos proveedores fue bastante buena. Reconocieron, respondió, tomó acción inmediata y lo verificó. ¡Una lección para todos los proveedores de IoT allí! "

"Como más cosas se pueden controlar en la red, la seguridad se vuelve cada vez más importante, " dijo Hackaday. En cuanto a las respuestas de los lectores de la BBC, parece que hay un segmento de propietarios de automóviles que no está impresionado con los avances de la tecnología. No solo no están impresionados, sino que lamentan el aumento de la dependencia de la tecnología que afecta las funciones del automóvil.

Un comentario fue que "no hay 'inteligencia' en ningún software ... no es más que estadísticas / probabilidad. En otras palabras, es cuestión de tiempo antes de que se tome la decisión incorrecta".

Otro comentario dijo que deseaba poder comprar un automóvil "sin toda la automatización. No quiero que la computadora encienda los limpiaparabrisas por mí, o cambiando el ángulo de mis faros cuando doy vuelta, o sonarme cuando cambio de carril. Distracciones peligrosas. Estoy conduciendo; Debería tener el control del coche ".

Otro más:"Si está [sic] conectado a Internet, es hackeable, ya sea un coche o una central nuclear. Trabajé para una empresa involucrada en infraestructura de transporte crítica para la seguridad, y teníamos una regla estricta de que el equipo operativo nunca estaba conectado a Internet, ya sea mediante VPN u otra técnica de seguridad ".

Otros comentarios indican opiniones de que la atención no debe centrarse en la naturaleza frágil del software, sino en la necesidad de realizar pruebas y depurar exhaustivamente antes de que se pueda lanzar un producto.

Un comentario analizó la forma en que en este caso las empresas respondieron con prontitud. Las fallas de seguridad son un hecho de la vida digital, así que trata con eso. Los puntos focales clave son "Revelación de vulnerabilidades y reparación efectiva", que son una "medida crucial de confianza". El comentario agregó que se debería hacer más con la respuesta en 7 días que con el aspecto de "¡Ten miedo!"

© 2019 Science X Network