¿Qué puede revelar tu coche conectado sobre ti?



Los desarrolladores de aplicaciones deben asumir la responsabilidad de la seguridad de los datos de los usuarios.

El teléfono inteligente se ha convertido en el centro de mando central de la vida de muchas personas. A Estudio de 2020 encontrado que el usuario promedio tiene 67 aplicaciones en su teléfono, pero la mayoría de la gente nunca se detiene a pensar en qué datos contienen esas aplicaciones o qué tan bien protegidas están. Bueno, busco agujeros de seguridad para ganarme la vida, así que decidí averiguar si la aplicación móvil de mi automóvil encriptaba los datos que contiene y a qué información podrían tener acceso los atacantes si pudieran ingresar a mi teléfono.

Muchas aplicaciones contienen información confidencial o particular que desea proteger del acceso no autorizado. Algunas son más obvias (cosas como aplicaciones bancarias y financieras, o aplicaciones médicas o de salud que almacenan datos), pero muchas aplicaciones almacenan información que puede parecer inocua, pero que aún proporcionaría pistas que un atacante puede usar. Lo importante es que las aplicaciones en las que confía con esta información tomen los pasos adecuados para cifrarla y protegerla de cualquier compromiso.

BMW ConnectedDrive
Decidí explorar la seguridad de la aplicación móvil de mi automóvil y averiguar si la aplicación encripta esos datos o no. Mi vehículo es un BMW y uso la aplicación BMW ConnectedDrive. La última versión de la aplicación disponible en Apple Retailer en mayo de 2020, cuando realicé mi investigación, fue BMW Connected para iOS versión 10.6.2.1807, que instalé en un Apple iphone 8 Additionally con iOS 13.3.1 y un Apple iphone XS Max con iOS 13.4.1.

La aplicación incluye una variedad de funciones. Puede bloquear o desbloquear el vehículo de forma remota, realizar un seguimiento de la ubicación en el vehículo, habilitar los faros o la bocina, ajustar o activar las funciones de command de clima, rastrear destinos a través del sistema de navegación, proporcionar el estado de si las puertas y ventanas están abiertas o cerradas, y informar el nivel de flamable true.

Es posible que muchas de esas cosas no tengan mucho valor o representen un gran riesgo de seguridad, pero no desea que un usuario no autorizado sepa los destinos que visita con más frecuencia o que pueda usar el rastreo de ubicación para averiguar dónde está el vehículo en cualquier lugar. momento dado.

Exposición de datos sensibles
Usando algunas herramientas básicas, pude descubrir datos no cifrados en la aplicación BMW con relativa facilidad. A medida que se agregaron y autenticaron vehículos con la aplicación, noté que los datos se almacenaban codificados en foundation 64, pero sin cifrar, en archivos .plist.

Usando el software package plistutil en una máquina Ubuntu Linux 19.10, pude acceder a los datos con otras herramientas de línea de comandos y eliminar las líneas y espacios vacíos para facilitar el descifrado de la información que revelaba. Pude identificar las direcciones de lugares favoritos, así como las instrucciones de navegación recientes enviadas al vehículo. También pude ver el kilometraje del vehículo y el combustible restante, el VIN y el modelo del vehículo, e incluso una foto del modelo y el colour del vehículo.

Estas cosas pueden no parecer tan cruciales. No es como si un atacante pudiera usar los datos de esta aplicación para hacer que su automóvil salga de la carretera o hacer algo directamente nefasto. Sin embargo, la información revelada por los datos sin cifrar en la aplicación BMW ConnectedDrive podría usarse para acechar o rastrear a alguien, para saber exactamente dónde ha ido y los lugares donde es más possible que esté, e identificar el vehículo exacto cuando lo encuentre. .

Protección de sus datos
Vale la pena señalar que un atacante necesitaría acceso físico a su dispositivo o, tal vez, a una computadora en la que su teléfono inteligente haya sido autenticado y confiable. Cuando el teléfono está conectado y autenticado, un atacante puede potencialmente extraer datos de sus aplicaciones desde la computadora.

Es importante que los desarrolladores de aplicaciones asuman la responsabilidad de los datos que piden a los usuarios que confíen en sus aplicaciones. Eso comienza con no depender de los controles de seguridad del sistema operativo en sí y tomar medidas para cifrar los datos almacenados por la aplicación de forma nativa o separada de cualquier protección que el sistema operativo pueda proporcionar.

Como usuario ultimate, hay mucho que puede hacer para proteger sus datos. Puede hacer algunos deberes e intentar seleccionar solo aplicaciones que no dejen datos sin cifrar, pero no siempre tiene una opción. Para mayor protección, no debe conectar su teléfono inteligente a una estación de trabajo compartida a la que otros puedan tener acceso y deben autenticar su dispositivo móvil solo en computadoras confiables. Además, asegúrese de elegir contraseñas y PIN complejos para que el acceso no autorizado sea lo más desafiante posible.

Divulgación responsable
Para que conste, mi empresa se compromete a actuar de manera responsable en lo que respecta a la divulgación de vulnerabilidades, por lo que compartimos esta información con BMW Group. Notificamos a BMW sobre las vulnerabilidades que identificamos en mayo de 2020 y trabajamos con la compañía durante todo el año para abordar los problemas.

BMW Team emitió esta declaración:

«Gracias a la notificación de Alejandro Hernandez en IOActive a través de nuestro canal de divulgación responsable, pudimos cambiar la forma en que se maneja la caché de datos de la aplicación. Nuestro equipo de desarrollo de aplicaciones agregó un paso de cifrado que hace uso del enclave seguro de los dispositivos Apple, en que generamos una clave que se utiliza para almacenar los favoritos y los metadatos del vehículo que Alejandro pudo extraer. Agradecemos a Alejandro por compartir su investigación con nosotros y nos gustaría agradecerle por comunicarse con nosotros «.

Alejandro Hernandez es un consultor de seguridad que trabaja para IOActive, donde ha tenido la oportunidad de trabajar en compañías Fortune 500 alrededor del mundo. Como investigador de seguridad, ha presentado su trabajo en diferentes congresos incluyendo Black Hat Usa, DEF CON, AppSec United states, … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial