David Colombo, un joven alemán de 19 años ha encontrado un fallo de seguridad en una aplicación de terceros usada por usuarios de Tesla. Esta vulnerabilidad permite que un hacker controle de forma remota alguna de las funciones del vehículo. Este martes publicó en twitter que el fallo le permite entre otras cosas, abrir y cerrar puertas y ventanas, arrancar el coche y desconectar los sistemas de seguridad.
Aunque en su perfil de twitter, no concreta de qué aplicación se trata, en una entrevista concedida a Bloomberg mostró capturas de pantalla y documentación que identifica la aplicación y detalla las vulnerabilidades. El fallo está relacionado con la forma de guardar los datos de los usuarios de esta aplicación. Ésta necesita los datos para vincularse con el coche y si la información cae en manos de un hacker podría mandar órdenes al vehículo.
Las órdenes que puede ejecutar remotamente
La lista de comandos que puede ejecutar es bastante larga e incluye entre otros los siguientes; deshabilitar el modo centinela, abrir y cerrar puertas y ventanas, empezar la conducción sin llave, localizar el vehículo, saber si el conductor está en el coche, acceder al sistema multimedia y controlar las luces. Queda fuera la posibilidad de conducir remotamente o afectar a la conducción activa a través de los frenos o el volante.
El joven se ha puesto en contacto con Tesla para dar a conocer esta situación. Como muchas compañías tecnológicas, Tesla tiene un programa de búsqueda de vulnerabilidades y fallos de seguridad, que en el caso de ser validados son premiados con una recompensa monetaria. De momento no sabemos el resultado de estas conversaciones.
¿Dónde está el fallo?
Colombo asegura que no estamos ante un fallo de la infraestructura o software de Tesla, pero su descubrimiento ha provocado un primer movimiento. Ayer la compañía revocó los tokens de autentificación v2 que no estaban actualizados a v3, obligando a estos usuarios a volver a conectarse para poder seguir usando las aplicaciones. Muchas de las compañías detrás de estas aplicaciones también han informado de la necesidad de volver a conectarse y han empezado a actualizar sus apps para dejar de usar el token de autentificación antiguo.
Esta noticia se está llevando de modo bastante discreto tanto por Tesla como por las compañías que podrían verse afectadas. Pero debe servir para recordarnos que estamos en el tiempo del internet de las cosas y de los riesgos asociados a ella, donde cualquier producto o servicio que esté online es potencialmente vulnerable a este u otro tipo de ataques.
Fuente David Colombo vía Bloomberg