Una persona de apariencia descuidada se acercó a mi automóvil el otro día mientras estaba estacionando y me preguntó si podía cargar su teléfono celular en mi automóvil y me ofreció pagarme $ 5. Por supuesto, no le permití que cargara su teléfono en mi automóvil, pero me hizo preguntarme si habría algo que pudiera haber hecho (aparte de cargar su teléfono) si hubiera conectado su teléfono al puerto USB de mi automóvil. ¿Alguien sabe si esto es una estafa de algún tipo?
Como no conozco el modelo de su automóvil, pero parece que le preocupa la seguridad de la información y el hecho de que el posible atacante eligió su automóvil, supongo que el puerto USB de su automóvil no es solo de energía.
El teléfono podría hacer cualquier cosa en este puerto USB porque cada dispositivo USB puede identificarse como cualquier dispositivo (almacenamiento, teclado, red, pantalla, ...). Tener una búsqueda de USB malo.
El vector de ataque más crítico es el sistema de bus en tu auto. CAN es el protocolo más conocido pero hay otros que se basan en él como UDS (que aún es débil desde una perspectiva de seguridad). Puede imaginarlo como una red en su automóvil donde todos los componentes pueden comunicarse entre sí con más o menos restricciones.
Aquí hay algunos escenarios posibles:
El puerto USB podría utilizarse doble como un puerto de mantenimiento que podría permitir el acceso completo al sistema de bus del automóvil.
El sistema de medios del automóvil podría tener una vulnerabilidad que podría permitir una escalada de privilegios al sistema de bus. (Por diseño, el sistema de medios debe estar aislado de los componentes críticos en el bus, pero en la práctica todos los proveedores no lo hacen).
Si su automóvil admite algún tipo de funciones inalámbricas para desbloquear y comenzar, esto podría ser parte de alguna técnica de explotación.
El automóvil podría usarse como un puente entre el dispositivo atacante y su teléfono (si está vinculado de alguna manera con su automóvil a través de Bluetooth o WiFi) para algún tipo de ataque contra su teléfono.
El sistema de medios del automóvil podría estar infectado con algún tipo de malware que se dirija a su teléfono inteligente u otros dispositivos conectados.
El software malicioso que se dirige directamente a su automóvil (como el ransomware, por ejemplo) también sería posible, pero realmente espero que esta industria aún no esté en este punto.
Solo para echar un vistazo a algunos detalles o para distraerlo por alguna razón.
Solo para nombrar algunos. Sin embargo. Este es un escenario de ataque y pregunta muy interesante. Tal vez le hubiera dado a esta persona $ 100 solo por saber su verdadera intención a cambio de no llamar a la policía de inmediato.
Sin poder investigar las vulnerabilidades de los vehículos, realmente no podemos decírtelo. Definitivamente es posible que haya algún tipo de explotación de reproducción automática en el manejo de USB de su vehículo.
Necesitaríamos conocer su modelo específico, y luego tendríamos que ir a comprar / probar el vehículo. Después de lo cual tendríamos que ejecutar muchas pruebas. Sin embargo, dado que la seguridad es una idea tardía para la mayoría de los desarrolladores, diría que es definitivamente posible.
En pocas palabras, no permitiría a las personas hacer esto.
Los ataques a través de USB y otras interfaces de automóvil como el estéreo son riesgos conocidos en los automóviles modernos. Hay investigaciones que demuestran que los autos de prueba pueden verse comprometidos a través de varias entradas, incluidos los sistemas de entretenimiento.
Considere lo siguiente en este artículo de IT World :
Encontraron muchas formas de ingresar. De hecho, los ataques por Bluetooth, La red celular, archivos de música maliciosos y vía diagnóstico. Las herramientas utilizadas en los concesionarios eran todas posibles, si eran difíciles de lograr, Dijo el salvaje. "La forma más fácil sigue siendo lo que hicimos en nuestro primer artículo: Conéctate al auto y hazlo ", dijo
Para obtener información más detallada, este documento (vinculado al artículo anterior) describe algunas de las investigaciones relacionadas con la" aceleración involuntaria ". Algunos de los ejemplos incluían poder hacer cosas como apagar los frenos, apagar el motor, falsificar las lecturas del velocímetro y bloquear las puertas.
Dicho todo esto, dudo mucho que quisieran hackear tu auto. Lo más probable es que quisieran robarte, o enganchar lo que fuera fácil de agarrar del tablero / asiento, o tal vez incluso intentar robar el auto.
Depende del tipo de puerto USB que tengas. Si tiene un puerto USB de solo energía (es decir, en su adaptador para encendedor de cigarrillos), entonces no hay nada que se pueda hacer para atacar el vehículo. Por otro lado, si su puerto USB es un puerto de datos para algún dispositivo, entonces las vulnerabilidades podrían ser bastante extensas. Al evaluar los riesgos, tenga en cuenta de qué es capaz el dispositivo con los datos USB. Por ejemplo, si solo tiene un sistema estéreo con un puerto de datos USB, entonces solo el sistema estéreo es vulnerable. Sin embargo, si su puerto de datos le permite conectar dispositivos a una computadora que opera cualquier sistema de seguridad para el automóvil, los riesgos son bastante grandes. Las vulnerabilidades exactas que podrían llevar a que estos riesgos se activen dependerán de las políticas de fabricación de la computadora y de los fabricantes de automóviles, incluidas las políticas de actualización, las vulnerabilidades del sistema operativo, etc.
Es prudente tener cuidado al conectar un dispositivo extraño a un puerto de datos USB que se interconecta con la computadora principal de su automóvil.
Lea otras preguntas en las etiquetas phone