Vulnerabilidad en la app de Hyundai permitía desbloquear y encender automóviles de forma remota

Prácticamente todos los automóviles nuevos tienen alguna funcionalidad inteligente, por ejemplo, una pantalla y conexión a Internet; son básicamente smartphones con ruedas, y eso también supone que sus problemas empiezan a ser similares.

De la misma manera que una vulnerabilidad en una aplicación puede exponer nuestro teléfono inteligente y permitir un hackeo, los automóviles también corren ese peligro. 

Un ejemplo claro es que las vulnerabilidades en las aplicaciones móviles expusieron los modelos de automóviles Hyundai y Genesis fabricados después de 2012 a ataques remotos. Estos ataques permitieron desbloquear e incluso encender los vehículos.

Los investigadores de seguridad de Yuga Labs también encontraron vulnerabilidades y exploraron superficies de ataque similares en la plataforma de “vehículos inteligentes” SiriusXM utilizada en automóviles de otros fabricantes (Toyota, Honda, FCA, Nissan, Acura e Infinity). Específicamente,  los investigadores pudieron”desbloquear, arrancar, ubicar y tocar la bocina” de los automóviles. 

En este momento, los investigadores no han publicado resúmenes técnicos detallados de sus hallazgos, pero compartieron información en Twitter. La información fue compartida en dos hilos separados (Hyundai , SiriusXM).

Sam Curry, investigador de Yuga Labs señaló que las investigaciones recientes sobre seguridad cibernética en los vehículos tienden a centrarse en los ataques criptográficos a las claves físicas. No obstante, aparte de las vulnerabilidades novedosas, es posible que se hayan pasado por alto los sitios web y las aplicaciones que admiten los protocolos y controles de comunicación modernos. 

Problemas de Hyundai

Las aplicaciones móviles de Hyundai y Genesis, denominadas MyHyundai y MyGenesis, permiten a los usuarios autenticados arrancar, detener, bloquear y desbloquear sus vehículos.

Después de interceptar el tráfico generado por las dos aplicaciones, los investigadores lo analizaron y pudieron extraer llamadas API para una mayor investigación.

Ellos descubrieron que la validación del propietario se realiza en función de la dirección de correo electrónico del usuario, que se incluyó en el cuerpo JSON de las solicitudes POST.

A continuación, los analistas descubrieron que MyHyundai no requería confirmación por correo electrónico al registrarse. Ellos crearon una nueva cuenta utilizando la dirección de correo electrónico del objetivo con un caracter de control adicional al final.

Finalmente, enviaron una solicitud HTTP a la terminal de Hyundai que contenía la dirección falsificada en el token JSON y la dirección de la víctima en el cuerpo JSON, omitiendo la verificación de validez.

Para comprobar que podían usar este acceso para un ataque al automóvil, intentaron desbloquear un automóvil Hyundai utilizado para la investigación. Unos segundos después, el auto fue abierto. 

El ataque de varios pasos finalmente se convirtió en un script de Python personalizado. El script solo necesita la dirección de correo electrónico del objetivo para el ataque.

Since exploiting this involved many steps, we took all of the requests necessary to exploit this and put it into a python script which only needed the victim's email address. After inputting this, you could then execute all commands on the vehicle and takeover the actual account. pic.twitter.com/Bz5G5ZvHro

— Sam Curry (@samwcyo) November 29, 2022

Una vez que lograron un ataque exitoso con el script de prueba de concepto (PoC) de Python, los investigadores pudieron realizar las siguientes acciones:

• Encender remotamente los faros del vehículo de la víctima.
• Tocar la bocina.
• Arrancar o apagar el motor.
• Bloquear o desbloquear el automóvil.
• Cambiar un PIN
• Abrir el maletero.

Problemas de SiriusXM

SiriusXM es, entre otras cosas, un proveedor de servicios telemáticos para vehículos utilizado por más de 15 fabricantes de automóviles. El proveedor afirma operar 12 millones de automóviles conectados que ejecutan más de 50 servicios bajo una plataforma unificada.

Los analistas de Yuga Labs descubrieron que las aplicaciones móviles para Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru y Toyota utilizan la tecnología SiriusXM para implementar funciones de gestión remota de vehículos.

Ellos Inspeccionaron el tráfico de la red desde la aplicación de Nissan y descubrieron que era posible enviar solicitudes HTTP falsificadas al punto final. Para lograrlo solo es necesario conocer el número de identificación del vehículo (VIN) del objetivo.

La respuesta a la solicitud no autorizada contenía el nombre, el número de teléfono, la dirección y los detalles del vehículo del objetivo.

Debemos tener en cuenta que los VINs son fáciles de ubicar en automóviles estacionados. Estos generalmente están visibles en una placa en el tablero cerca del parabrisas. Es decir, un atacante podría acceder fácilmente a ellos. Estos números de identificación también están disponibles en sitios web especializados en venta de automóviles, para que los compradores potenciales consulten el historial del vehículo.

Además de la divulgación de información, las solicitudes también pueden llevar comandos para ejecutar acciones en los automóviles.

Vulnerabilidades corregidas

Antes de publicar los detalles, Yuga Labs informó tanto a Hyundai como a SiriusXM sobre las vulnerabilidades y los riesgos asociados. Los dos proveedores han corregido las vulnerabilidades.

Si bien Curry dijo que el proyecto era “principalmente por diversión”, al comentar sobre la investigación, Specters, otro investigador afirmó:

“Quiero destacar que comenzamos esta investigación porque todos reconocimos que la seguridad integrada para los vehículos estaba mejorando cada vez más. No obstante, la seguridad de las aplicaciones se estaba quedando atrás por un amplio margen. Queríamos impulsar ese cambio y esperamos haberlo hecho”.

Finalmente, es importante mencionar que un portavoz de Hyundai declaró lo siguiente:

Hyundai trabajó diligentemente con consultores externos para investigar la supuesta vulnerabilidad tan pronto como los investigadores nos lo comunicaron.

Es importante destacar que, aparte de los vehículos Hyundai y las cuentas que pertenecen a los propios investigadores, nuestra investigación indicó que otros no accedieron a los vehículos o cuentas de los clientes como resultado de los problemas planteados por los investigadores. 

También señalamos que para emplear la supuesta vulnerabilidad, se requería conocer la dirección de correo electrónico asociada con la cuenta y el vehículo específicos de Hyundai, así como el script web específico empleado por los investigadores.

Sin embargo, Hyundai implementó contramedidas a los pocos días de la notificación para mejorar aún más la seguridad de nuestros sistemas. Hyundai también quisiera aclarar que no nos afectó la falla de autorización de SXM.

Valoramos nuestra colaboración con los investigadores de seguridad y apreciamos la asistencia de este equipo.

Asimismo, un portavoz de SiriusXM manifestó:

Esto no ha afectado a ningún cliente.

Nuestros programas de recompensas por errores son algo que hacemos de forma rutinaria en el curso de nuestro negocio.

Continuaremos trabajando con investigadores independientes y/u otras entidades de terceros.