Las aplicaciones de control remoto de vehículos tienen problemas de seguridad

Kaspersky Lab detectó errores en las siete aplicaciones móviles que ha analizado de conocidos fabricantes.

Tras analizar siete aplicaciones móviles desarrolladas por destacados fabricantes para autorizar el control remoto de vehículos, Kaspersky Lab ha llegado a la conclusión de que “todas” adolecen de “problemas de seguridad que potencialmente pueden permitir a los criminales causar daños significativos a los propietarios de los automóviles conectados”.

¿Qué tipo de problemas? Por ejemplo, esta firma de seguridad explica que no habría defensa contra acciones de ingeniería inversa ni comprobación de la integridad del código. Tampoco técnicas de detección de rooting ni protección ante superposición de aplicaciones. Además, se almacenarían inicios de sesión y contraseñas en texto plano.

Todo esto significa, entre otras cosas, que un tercero puede llegar a entender cómo funciona el software de control de un coche y acabar encontrando errores y hasta insertar su propio código. También hay peligro de robo de datos sensibles y de uso de phishing y troyanos. Esto es, poniendo en práctica primero ciertos preparativos como provocar la descarga de programas maliciosos, que es algo que los ciberdelincuentes más astutos saben hacer.

“En su estado actual, las aplicaciones para coches conectados no están listas para soportar ataques de malware“, advierte Victor Chebyshev, experto en seguridad de Kaspersky Lab, que añade que, “pensando en la seguridad del coche conectado, uno no sólo debe considerar la seguridad de la infraestructura del lado del servidor”.

Con el estado de seguridad (o de inseguridad) actual, sería posible acabar ganando control sobre el dispositivo conectado y, a partir de ahí, apagar alarma, abrir puertas y robar el vehículo.

“Por suerte, todavía no hemos detectado ningún caso de ataques contra aplicaciones de automóviles, lo que significa que los vendedores de coches todavía tienen tiempo para hacer las cosas bien”, indica Chebyshev.

“Cuánto tiempo tienen exactamente” es algo que “se desconoce”, reconoce este experto. No en vano, “los troyanos modernos son muy flexibles: un día pueden actuar como adware normal y, al día siguiente, pueden descargar fácilmente una nueva configuración que hace posible dirigirse a nuevas apps. La superficie de ataque aquí es muy grande”.