Hace tiempo que han aparecido los dongles ODB2 que permiten convertir a nuestro coche en un coche conectado. En Estados Unidos diversas empresas de seguros de coche las ofrecen a sus clientes con un objetivo interesante: registran la conducción de esas personas y ajustan la cuota del seguro según el tipo de conductor, pudiendo reducir esa cuota o subirla según la "seguridad" detectada en el modo de conducción.
Sin embargo un investigador de seguridad de Digital Bond Labs llamado Corey Thuen ha descubierto que estos dispositivos son una puerta abierta para hackers y crackers, que pueden aprovechar el hecho de que los responsables de estos dispositivos apenas implementan medidas de seguridad.
Es el caso de Snapshot, un producto de la empresa Progressive Insurance, que simplemente al ser conectado a un portátil hace que podamos controlar la apertura de puertas, el arranque o la recolección de datos del motor. Extrayendo el firmware y haciendo ingeniería inversa pudo descubrir cómo explotar sus vulnerabilidades.
Según Thuen, las medidas de seguridad brillaban por su ausencia: "El firmwware que está instalado en el dongle es mínimo e inseguro. No realiza la validación o la firma de las actualizaciones del firmware, no tiene arranque seguro, no tiene autenticación a través del móvil, no tiene cifrado ni comunicaciones seguras, no tiene prevención de ejecución de datos o tecnologías que traten de mitigar los ataques... básicamente no utiliza ningún tipo de tecnología de seguridad".
El investigador avisaba de las amenazas que esto puede conllevar, con ciberatacantes que pueden controlar estos dispositivos y los coches a los que están conectados, además de todos los datos que se transfieren entre los dongles y los servidores de las empresas de seguros, ya que esos datos no están cifrados.
Vía | Forbes
En Xataka | Tu coche sabe demasiado de ti y hay empresas ansiosas por esos datos
Ver 8 comentarios
8 comentarios
arion1984
Es lo que tiene la politica de contratar 300 becarios para un proyecto y, al terminarlo, todos a la puta calle. Avanade... Coritel... Novasoft....
El resultado es un producto de mierda. Ahora que se jodan, se deberían hundir todas.
A ver cuando empiezan a tratar a los empleados como personas y no como instrumentos.
unplugged
Normalmente me preocupan bastante poco los datos que utilicen las empresas sobre mi, Google Now sabe hasta cuando voy al baño, pero me es muy útil. Pero lo que el seguro me controle como conduzco ... dentro de nada también la policía, sincronizaran nuestro coche y verán cuantas infracciones hemos cometido y nos enviarán el resumen de las multas.
adri_rodrig90
No todas!
Hay una empresa 100% española que sí que sabe hacer las cosas bien, se llama BeYourCar y os invito a ver en su página de youtube el vídeo promocional y el video tutorial, que te explica perfectamente cómo funciona el OBD2.
A mi me parece una idea buenísima y creo que te hace cambiar la idea
Land-of-Mordor
Aquí en España la mayoría de los ODB2 se usan puntualmente para consultar datos de la centralita del coche, así que no hay mucho peligro, en todo caso que el diseñador de la aplicación que uses para la consulta haya preparado la colecta de los datos y su "venta" al mejor postor.
neoelsalteador2
Lo interesante sería hacerse un par de preguntas. ¿Por qué no se invierte en la seguridad del usuario medio? ¿Por qué se acepta el uso de tecnologías inseguras en puntos clave como el GSM (es en sí, un SO independiente que está por encima del SO que vemos en pantalla)? ¿A quién beneficia esta baja seguridad de todos los aparatos con los que convivimos diariamente?
No hay más ciego que el no quiere ver pero el Big Brother está ahí sólo para nosotros.
gadgetlover
Este es el riesgo de lanzarse a compartir datos sin medida !