Investigadores de seguridad chinos de Keen Security Lab han descubierto más de una docena de vulnerabilidades en las unidades de cómputo de los automóviles de la reconocida empresa alemana BMW, algunas de las cuales pueden ser explotadas remotamente para comprometer un vehículo.
Los defectos en la seguridad de la computadora de abordo se descubrieron durante una auditoría de seguridad de un año realizada por investigadores de Keen Security Lab, una división de investigación de ciberseguridad de la empresa china Tencent, entre enero del 2017 y febrero de este año.
En marzo de 2018, el equipo reveló responsablemente 14 vulnerabilidades diferentes directamente al Grupo BMW, lo que afecta a los vehículos fabricados por BMW desde al menos 2012.
Estos son el mismo grupo de investigadores de seguridad que han encontrado múltiples vulnerabilidades en varios módulos de los automóviles fabricados por Tesla, que podrían haber sido explotados para lograr controlar remotamente un automóvil objetivo del ataque.
Ahora que BMW comenzó a implementar parches para las vulnerabilidades descubiertas en sus automóviles, los investigadores han hecho público un informe técnico de 26 páginas [PDF en inglés] que describe sus hallazgos, aunque evitaron publicar algunos detalles técnicos importantes para evitar el abuso y además no proveen PoC (Proof of Concept), con lo cuál en teoría estas vulnerabilidades no podrían ser explotadas maliciosamente al día de hoy.
Los investigadores dijeron que se espera que una copia completa de su investigación aparezca en algún momento a principios de 2019, con lo cual el grupo BMW tiene tiempo más que suficiente para mitigar por completo todas las vulnerabilidades encontradas.
El equipo de investigadores de seguridad chinos se centraron en tres componentes críticos de los vehículos: el sistema de infoentretenimiento (o unidad principal), la unidad de control telemático (TCU o T-Box) y el módulo central de pasarela presente en varios modelos de BMW.
Aquí está la lista de las vulnerabilidades descubiertas por los investigadores por categoría:
- 8 vulnerabilidades afectan el sistema de infoentretenimiento conectado a Internet que reproduce música y otros medios audiovisuales.
- 4 fallas afectan la Unidad de Control Telemático (TCU) que proporciona servicios de telefonía, servicios de asistencia de accidentes y la capacidad de bloquear/desbloquear las puertas del automóvil de forma remota.
- 2 defectos afectan al Módulo de puerta de enlace central que se ha diseñado para recibir mensajes de diagnóstico de la TCU y la unidad de infoentretenimiento y luego transferirlos a otras Unidades de control electrónico (ECU) en diferentes buses CAN.
La explotación de estas vulnerabilidades podría permitir a los atacantes enviar mensajes de diagnóstico arbitrarios a la unidad de control del motor (ECU) del vehículo objetivo, que controla las funciones eléctricas del automóvil y al bus CAN, que es la médula espinal del vehículo.
Esto eventualmente podría permitir que los ciberdelincuentes tomen el control completo sobre la operación del vehículo afectado hasta cierto punto.
Cuatro de las vulnerabilidades descubiertas requieren un acceso USB físico o acceso al puerto ODB (diagnóstico a bordo), lo que significa que los atacantes deben estar dentro de su vehículo para explotarlos al enchufar un dispositivo cargado con malware en el puerto USB.
Sin embargo, seis vulnerabilidades se pueden explotar de forma remota para poner en peligro las funciones del vehículo, incluida una conducida a corta distancia por Bluetooth o tambien a larga distancia a través de redes celulares 3G/4G, incluso cuando el vehículo está en marcha. Lo cuál las vuelve extremadamente peligrosas.
El equipo confirmó que las vulnerabilidades existentes en la unidad principal y afectarían a varios modelos de BMW, incluidos el BMW Serie i, el BMW Serie X, el BMW Serie 3, el BMW Serie 5 y el BMW Serie 7.
Sin embargo, los investigadores dijeron que las vulnerabilidades descubiertas en la Unidad de Control Telemático (TCB) afectarían a los “modelos de BMW equipados con este módulo producido a partir del año 2012”.
BMW confirmó los hallazgos de los investigadores chinos y ya comenzó a implementar actualizaciones OTA (Over-The-Air) para corregir algunos errores en la TCU, pero otros defectos necesitarán parches a través de la red de distribuidores autorizados, razón por la cual los investigadores han programado recien hacer público su informe técnico completo en marzo del 2019.
BMW también premió a los investigadores de Keen Security Lab con el premio BMW Group Digitalization and IT Research Award, describiendo la investigación llevada a cabo como “la prueba más exhaustiva y compleja jamás realizada en vehículos BMW Group por un tercero“.