Técnica

Fallas de seguridad en el portal web de un fabricante de automóviles permiten que un hacker desbloquee de forma remota desde cualquier lugar

Photo of Manuel García Manuel García Send an email 19 horas ago
0 7 4 minutes read
Fallas de seguridad en el portal web de un fabricante de automóviles permiten que un hacker desbloquee de forma remota desde cualquier lugar

Un investigador de seguridad dijo que Flaws en el portal de concesionario en línea de un fabricante de automóviles expuso la información privada y los datos de los vehículos de sus clientes, y podría haber permitido a los piratas informáticos irrumpir en cualquiera de los vehículos de sus clientes.

Eaton Zveare, que trabaja como investigador de seguridad en la empresa de entrega de software Harness, le dijo a TechCrunch el defecto que descubrió permitió la creación de una cuenta de administración que otorgó el “acceso sin restricciones” al portal web centralizado del fabricante de automóviles no identificado.

Con este acceso, un hacker malicioso podría haber visto los datos personales y financieros de los clientes del fabricante de automóviles, rastrear vehículos e inscribir a los clientes en características que permiten a los propietarios, o los piratas informáticos, controlar algunas de las funciones de su automóvil desde cualquier lugar.

Zveare dijo que no planea nombrar al proveedor, pero dijo que era un fabricante de automóviles ampliamente conocido con varias submarcadas populares.

En una entrevista con TechCrunch antes de su charla en la Conferencia de Seguridad Def Con en Las Vegas el domingo, Zveare dijo que los errores pusieron en foco la seguridad de estos sistemas de concesionario, que otorgan a sus empleados y asociados un amplio acceso a la información del cliente y los vehículos.

Zveare, que ha encontrado errores en Sistemas de clientes de fabricantes de automóviles y sistemas de gestión de vehículos Antes, encontró el defecto a principios de este año como parte de un proyecto de fin de semana, le dijo a TechCrunch.

Dijo que si bien los defectos de seguridad en el sistema de inicio de sesión del portal eran un desafío para encontrar, una vez que lo encontró, los errores lo permitieron evitar el mecanismo de inicio de sesión por completo al permitirle crear una nueva cuenta de “administrador nacional”.

Las fallas fueron problemáticas porque el código de errores se cargó en el navegador del usuario al abrir la página de inicio de sesión del portal, permitiendo que el usuario, en este caso, Zveare, modifique el código para evitar las verificaciones de seguridad de inicio de sesión. Zveare le dijo a TechCrunch que el fabricante de automóviles no encontró evidencia de explotación pasada, lo que sugiere que fue el primero en encontrarlo e informarlo al fabricante de automóviles.

Cuando se registró, la cuenta otorgó acceso a más de 1,000 de los concesionarios de fabricantes de automóviles en todo Estados Unidos, dijo a TechCrunch.

“Nadie sabe que solo está mirando en silencio todos los datos de estos distribuidores, todas sus finanzas, todas sus cosas privadas, todos sus clientes potenciales”, dijo Zveare, al describir el acceso.

Zveare dijo que una de las cosas que encontró dentro del portal del concesionario era una herramienta nacional de búsqueda de consumo que permitió a los usuarios del portal iniciado a buscar los datos del vehículo y el conductor de ese fabricante de automóviles.

En un ejemplo del mundo real, Zveare tomó el número de identificación único de un vehículo del parabrisas de un automóvil en un estacionamiento público y usó el número para identificar al propietario del automóvil. Zveare dijo que la herramienta podría usarse para buscar a alguien que use solo el nombre y apellido de un cliente.

Con acceso al portal, Zveare dijo que también era posible emparejar cualquier vehículo con una cuenta móvil, lo que permite a los clientes controlar de forma remota algunas de las funciones de su automóvil desde una aplicación, como desbloquear sus automóviles.

Zveare dijo que probó esto en un ejemplo del mundo real usando la cuenta de un amigo y con su consentimiento. Al transferir la propiedad a una cuenta controlada por Zveare, dijo que el portal solo requiere una certificación, efectivamente una promesa rosada, de que el usuario que realiza la transferencia de la cuenta es legítimo.

“Para mis propósitos, acabo de tener un amigo que me consintió tomar su auto, y corrí con eso”, dijo Zveare a TechCrunch. “Pero [the portal] Básicamente, podría hacer eso a cualquiera simplemente conociendo su nombre, lo que me asusta un poco, o podría buscar un automóvil en los estacionamientos “.

Zveare dijo que no probó si podía conducir, pero dijo que los ladrones podrían abusar de la exploit para irrumpir y robar elementos de los vehículos, por ejemplo.

Otro problema clave con el acceso a este portal de fabricante de automóviles fue que era posible acceder a los sistemas de otros distribuidores vinculados al mismo portal a través de un solo inicio de sesión, una característica que permite a los usuarios iniciar sesión en múltiples sistemas o aplicaciones con solo un conjunto de credenciales de inicio de sesión. Zveare dijo que los sistemas de fabricantes de automóviles para concesionarios están interconectados, por lo que es fácil saltar de un sistema a otro.

Con esto, dijo, el portal también tenía una característica que permitía a los administradores, como la cuenta de usuario que creó, “hacerse pasar por otros usuarios, permitiendo efectivamente el acceso a otros sistemas de distribuidores como si fueran ese usuario sin necesidad de inicios de sesión. Zveare dijo que esto era similar a una característica encontrada en un portal de concesionario de Toyota descubierto en 2023.

“Son solo pesadillas de seguridad esperando que suceda”, dijo Zveare, hablando de la función de impersonación del usuario.

Una vez en el portal, Zveare encontró datos de clientes identificables personalmente, información financiera y sistemas telemáticos que permitieron el seguimiento de la ubicación en tiempo real de los autos de alquiler o cortesía, así como los automóviles que se envían por todo el país, y la opción de cancelarlos, sin embargo, Zveare no lo intentó.

Zveare dijo que los errores tardaron aproximadamente una semana en solucionar en febrero de 2025 poco después de su divulgación al fabricante de automóviles.

“La conclusión es que solo dos vulnerabilidades de API simples abrieron las puertas, y siempre está relacionada con la autenticación”, dijo Zveare. “Si vas a equivocarse, entonces todo se cae”.

Fuente

Photo of Manuel García Manuel García Send an email 19 horas ago
0 7 4 minutes read
Photo of Manuel García

Manuel García

Related Articles

Trump extiende la tregua tarifa de China durante 90 días, dice CNBC

Trump extiende la tregua tarifa de China durante 90 días, dice CNBC

3 minutos ago
Este meta prototipo es una meta misión 3 seriamente actualizada, y puedes probarlo por ti mismo

Este meta prototipo es una meta misión 3 seriamente actualizada, y puedes probarlo por ti mismo

9 minutos ago
EE. UU. Reinicia los fondos del cargador EV después de que el tribunal bloqueó

EE. UU. Reinicia los fondos del cargador EV después de que el tribunal bloqueó

33 minutos ago
Fuentes: GM planea un impulso renovado en los automóviles sin conductor, centrado en el uso personal en lugar de un servicio robotaxi, y está tratando de traer de vuelta a algunos ex trabajadores de los crises (David Welch/Bloomberg)

Fuentes: GM planea un impulso renovado en los automóviles sin conductor, centrado en el uso personal en lugar de un servicio robotaxi, y está tratando de traer de vuelta a algunos ex trabajadores de los crises (David Welch/Bloomberg)

41 minutos ago

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Back to top button