La primera de estas vulnerabilidades permite a un usuario tener el acceso al número de bastidor (VIN – Vehicle Identification Number) de un vehículo que no es suyo. El número de bastidor es adjuntado a cada cuenta de usuario, siendo utilizado para respaldar la configuración de ConnectedDrive. Esto quiere decir que todos los cambios que se hagan desde la interfaz web de ConnectedDrive terminan afectando a la configuración del vehículo.

Vulnerability Labs ha conseguido saltarse el proceso de validación del inicio de sesión que utiliza el número de bastidor, pudiendo utilizar otro para acceder a la configuración de un vehículo distinto y modificar opciones como el bloqueo y desbloqueo del vehículo, manejar listas de reproducción de canciones, acceder a cuentas de email, manejar rutas de desplazamiento, información del tráfico en tiempo real, etc.

La segunda vulnerabilidad es un bug de XSS (cross-site scripting) que afecta a la sección de restablecimiento de la contraseña del sitio web, que abre la puerta a las típicas complicaciones que se encuentran cuando se produce un ataque a un sitio web, como recolección de cookies, ataques CSRF, phishing, etc.

La informatización de los vehículos hará que la seguridad se convierta en un factor crítico en estos. Y esto no es alarmismo, porque ya se han reportado problemas relacionados con el hacking sobre vehículos, habiendo expertos que ya han avisado sobre los riesgos de tenerlos conectados a Internet.

Fuente: Softpedia | muyseguridad