Un hacker e investigador de seguridad de 19 años dijo que pudo controlar algunas características de docenas de autos Tesla en todo el mundo gracias a una vulnerabilidad en una aplicación de terceros que permite a los propietarios de autos rastrear los movimientos de sus autos, desbloquear puertas de forma remota, abrir ventanas, comenzar a conducir sin llave, tocar la bocina y encender las luces.
David Colombo, el investigador que encontró el problema, le pidió a Motherboard que no revelara todos los detalles sobre sus hallazgos, como el nombre de la aplicación de terceros, dado que algunas de las vulnerabilidades que descubrió aún no se han solucionado. Colombo permitió que Motherboard revisara su próxima publicación de blog, que contenía los detalles.
“Hay esos Tesla en todo el mundo en este momento en 13 países y puedo desactivar el modo centinela, desbloquear las puertas, iniciar la conducción sin llave y llevarlos de viaje”, dijo Colombo a Motherboard en una entrevista.
Crucialmente, dijo que no puede controlar las funciones más importantes de los autos de forma remota, como la dirección, la aceleración y el frenado. Pero aún podría causar algunos estragos.
“Creo que también puede dar lugar a algunas situaciones potencialmente peligrosas en la carretera, si conduces por la carretera y luego, al azar, alguien comienza a reproducir música a todo volumen o cosas así”, dijo.
Colombo explicó que, además de controlar algunas de las funciones de los automóviles, también pudo ver una gran cantidad de datos confidenciales, como el nombre que el propietario le dio a su Tesla, su ubicación actual, las rutas precisas que tomó el automóvil en los últimos días, la velocidad del coche, y más.
La primera vez que descubrió este dato, Colombo se sorprendió. “Pude ver por dónde conducía este tipo”, dijo Colombo. “Yo estaba como, sí, lo siento, qué demonios no debería poder ver eso”. Luego dijo que buscó en Internet más casos de esto y encontró más de 125 Teslas en todo el mundo, en países como Alemania, Bélgica, Finlandia, Dinamarca, Reino Unido, Estados Unidos, Canadá y China.
Obviamente, el mayor riesgo era que alguien abusara de la vulnerabilidad para ubicar un Tesla, ir a su ubicación y desbloquearlo a través de la aplicación vulnerable de código abierto de terceros. Colombo dijo que ha estado trabajando con el mantenedor de la aplicación de terceros para corregir las fallas.
Tesla no respondió a una solicitud de comentarios enviada a varias direcciones de correo electrónico, incluida la bandeja de entrada de relaciones con inversores de la compañía, la bandeja de entrada de prensa y una para informar vulnerabilidades de seguridad. Colombo enfatizó que los problemas que encontró no son culpa de Tesla.
Los únicos Tesla que quedaron expuestos fueron aquellos cuyos propietarios usaban una aplicación específica de terceros. Sin ser demasiado específico, el quid de la cuestión era que la aplicación de terceros se comunica con Tesla para extraer los datos del propietario del automóvil a través de la API de la empresa. El problema es que la aplicación expone la clave API privada de muchos propietarios a Internet, donde todos los que saben dónde buscar, como Colombo, pueden encontrarla.
Referencias y Créditos:
Lorenzo Franceschi-Bicchierai (2022, enero 13). How a Hacker Controlled Dozens of Teslas Using a Flaw in Third-Party App https://www.vice.com/en/article/akv7z5/how-a-hacker-controlled-dozens-of-teslas-using-a-flaw-in-third-party-app
Comments