Scooters eléctricos vulnerables a hacks remotos


Un casco puede no ser suficiente para mantenerte seguro (r) mientras conduces un e-scooter

Los scooters eléctricos se están convirtiendo en una alternativa common para los viajes cortos. Sin embargo, además de la conveniencia, también introducen una gama de riesgos de ciberseguridad y privacidad, según un estudio de la Universidad de Texas en San Antonio (UTSA)

La revisión, que UTSA dijo es «la primera revisión de los riesgos de seguridad y privacidad planteados por los e-scooters y sus servicios y aplicaciones de software program relacionados»: describe varios escenarios de ataques que los ciclistas podrían enfrentar, así como también cómo abordar los riesgos.

Muchos e-scooters dependen de una combinación de Bluetooth Low Vitality (BLE) y la conexión a Web del teléfono inteligente del piloto para funcionar, así como para enviar datos al proveedor de servicios. Esto abre una serie de vías para posibles ataques. Por ejemplo, los malos actores podrían espiar la información que se está transmitiendo, lo que a su vez podría conducir a Hombre en el medio (MitM) y ataques de repetición. Esos podrían permitir que los piratas informáticos inyecten comandos de forma remota y lesionen al jinete o los peatones. El año pasado, este riesgo ya se descubrió en uno de los scooters de Xiaomi.

La batería de un scooter, el motor, los frenos, los faros y el chip del controlador se encuentran entre los componentes clave que pueden atacarse durante un ataque físico. Los atacantes pueden intercambiar componentes clave o instalar «módulos maliciosos» que les permitan controlar de forma remota el scooter o recopilar información privada a escondidas. Al manipular remotamente los frenos y la aceleración, el mal actor puede dañar al conductor y / o a otras personas.

Las aplicaciones de micromobility generalmente rastrean el paradero de los e-scooters, lo que significa que la suplantación de ubicación es otra cosa de la que preocuparse. Los malos actores pueden, por ejemplo, atraer a un jinete a un área aislada para dañarlos. Alternativamente, puede hacer que el scooter sea difícil de encontrar al darle una ubicación aleatoria falsa, lo que resultaría en una pérdida de ingresos para el proveedor.

Los proveedores de scooters electrónicos requieren una amplia gama de información de los pasajeros para suscribirse a su servicio. Por lo typical, estos incluyen algún tipo de identificación, junto con información de facturación, contacto e información demográfica. Los proveedores recopilan automáticamente datos adicionales, como la ubicación de los pasajeros y la información de su teléfono inteligente. Los atacantes con acceso a los datos pueden crear una imagen completa de los hábitos de los pasajeros, los lugares que frecuentan y las rutas que pueden usar.

La mayoría de los riesgos pueden mitigarse implementando las mejores prácticas de seguridad cibernética. Los empleados que recargan los scooters pueden verificar sus componentes mecánicos o eléctricos para asegurarse de que nadie haya manipulado los scooters. En cuanto a los riesgos de privacidad que se avecinan, uno de los mejores pasos sería implementar un privacidad por diseño enfoque para las aplicaciones, haciendo que las partes que manejan datos sean inaccesibles para personal no autorizado. Además, el monitoreo del tráfico de datos ayudaría al proveedor de servicios a reaccionar ante las amenazas en tiempo actual.








Enlace a la noticia authentic