BMW corrige una falla de seguridad en el software que hizo que 2.2 millones de vehículos fueran vulnerables a secuestros

BMW ha corregido una falla en su software de a bordo que gestiona la comunicación interna del vehículo y que podría haber hecho que sus 2.2 millones de vehículos, incluidos Rolls-Royce, Mini y BMW, fueran vulnerables a hackeos

Bavarian Motor Works o BMW de Alemania es considerado el epítome del lujo y el rendimiento. El fabricante de automóviles con sede en Múnich, Baviera, ha estado en el negocio automotriz durante más de 70 años y fabrica automóviles de lujo de alta calidad como Rolls-Royce, Mini, BMW y motocicletas para un mercado mundial.

Dado que BMW es considerado uno de los automóviles más seguros que se pueden comprar en términos de rendimiento, ha sido visto como un símbolo de fiabilidad. Pero el Allgemeiner Deutscher Automobil-Club (ADAC) no lo piensa así. Un equipo de investigadores de ADAC descubrió que los automóviles BMW eran vulnerables a secuestros debido a una vulnerabilidad en su sistema inalámbrico. Los investigadores de ADAC descubrieron que la vulnerabilidad de seguridad en el sistema ConnectedDrive de BMW puede imitar los servidores de BMW y enviar instrucciones de desbloqueo remoto a los vehículos, facilitando su robo.

El problema fue descubierto por el Allgemeiner Deutscher Automobil-Club (ADAC), una asociación automovilística alemana, y fue verificado en varios modelos de automóviles BMW.

El ataque aprovechó una función que permite a los conductores que han sido bloqueados fuera de sus vehículos solicitar el desbloqueo remoto de su automóvil a través de una línea de asistencia de BMW.

Durante las pruebas de software de ADAC, se encontró que una laguna en el software podría permitir a los ladrones abrir las puertas/ventanas del automóvil después de hackear los datos transmitidos desde la red del automóvil utilizando una estación base de teléfono celular réplica. Aunque había un riesgo de violación de seguridad durante la transmisión de datos, la falla no iba a afectar funciones como la dirección, el frenado o el arranque/parada del motor. Otro problema real era que si un hacker tenía éxito en abrir las puertas del automóvil, tendría fácil acceso a las funciones a bordo que gestionan todo en el automóvil.

Si bien ADAC no presentó la PoC del hackeo, mencionó que la falla involucra la funcionalidad ConnectedDrive de BMW. BMW fabrica varias aplicaciones para teléfonos inteligentes, al menos una de las cuales, llamada My BMW Remote en los Estados Unidos, permite al propietario del automóvil bloquear y desbloquear el vehículo.

Dave Buchko, un portavoz de BMW, dijo: “Pudieron realizar ingeniería inversa de parte del software que usamos para nuestra telemática y con eso pudieron imitar el servidor de BMW.” Las subsidiarias de BMW, Rolls-Royce y Mini, también utilizan ConnectedDrive. La vulnerabilidad del hackeo podría haber puesto en peligro a unos 2.2 millones de automóviles en todo el mundo.

BMW corrigió ayer la falla de seguridad que podría haber causado varios robos de automóviles si no se hubiera abordado. Los fabricantes de automóviles alemanes, aunque no ha llegado a su conocimiento ningún caso que involucre el método PoC de ADAC, ni se han comprometido automóviles debido a la falla mencionada. Sin embargo, dijeron que habían parcheado la falla. Desde ayer, la comunicación interna ahora se cifrará utilizando el estándar de Protocolo de Transferencia de Hipertexto Seguro (HTTPS), que también se utiliza para garantizar transacciones financieras seguras.

BMW además declaró que sus clientes no necesitan preocuparse por la falla ni tomar ninguna acción, sus ingenieros han lanzado una actualización automática que corregirá la falla tan pronto como el vehículo se conecte al servidor de la empresa.