" />
Tesla S
ZOOM
GALERÍA
0 COMENTARIOS

Algunas funciones del Tesla S pueden controlarse en remoto por un atacante

Los riesgos del Internet de las cosas

El concepto de Internet de las cosas lleva dando vueltas desde finales del siglo pasado y parece que, por fin, empezamos a ver sus aplicaciones. Uno de los ejemplos que suele usarse al hablar de dispositivos conectados es el coche eléctrico Tesla S. También ha sido el ejemplo reciente de un problema de seguridad que podría dar el control de algunos parámetros del coche a través del smartphone del atacante.

Los fallos de seguridad han sido descubiertos por Nitesh Dhanjani, un reconocido analista de seguridad y autor de varios libros sobre el particular. Los ha expuesto en la edición asiática de la conferencia Black Hat, así como en su blog personal. Aunque no es posible controlar remotamente el coche en su totalidad, algunas de las funciones afectadas sí pueden poner en peligro a los ocupantes del vehículo.

El principal fallo detectado es que la política de seguridad de las contraseñas de usuario de Tesla es terriblemente pobre. La longitud mínima es de sólo 6 dígitos, debiendo incluir entre ellos al menos uno alfabético y otro numérico. Además, no hay un control de intentos fallidos de conexión, lo que, unido a la simpleza de las contraseñas, es posible obtener acceso al panel de control mediante un sencillo ataque de fuerza bruta.

Además, apunta Dhanjani entre otros posibles problemas de seguridad de esta política, también sería posible obtener las credenciales mediante técnicas de phising. Las consecuencias de que otro usuario acceda mediante la app para iOS al Tesla S de otra persona pueden ser graves. Estas son las funciones a las que tiene acceso la versión actual de la app:

  • Comprobar el proceso de carga en tiempo real e iniciar o detener la carga
  • Calentar o enfriar el Tesla S antes de conducir
  • Localizar el Tesla S con instrucciones o seguir su posición en un mapa
  • Hacer parpadear las luces o tocar la bocina para localizar el Tesla S cuando está aparcado
  • Abrir o cerrar el techo panorámico
  • Bloquear o desbloquear en remoto

Entre las cosas «divertidas» que se pueden hacer están abrir el techo panorámico en plena nevada, utilizar la posición geográfica del Tesla S para cotillear, tocar la bocina por la noche, bloquear el coche con el conductor dentro o dejar toda la noche la calefacción puesta en pleno agosto.

Vale, todo esto son gamberradas bastante molestas, pero sin riesgo para la integridad física de nadie. ¿Qué tal si las señales visuales y sonoras se emiten en pena autopista? ¿O si se abre el techo panorámico en marcha durante un vendaval? ¿Y si el bloqueo de puertas se activa tras un accidente? Aunque probablemente el riesgo más real es el de un robo, ya que permite localizar al vehículo y desbloquear sus puertas: los ladrones ya tienen medio camino andado.

Además de utilizar contraseñas lo más seguras posible, Dhanjani ofrece algunas soluciones para paliar en la medida de lo posible el riesgo de que alguien explote este problema. La más evidente es utilizar una dirección de email nueva y exclusiva para la cuenta de Tesla, de modo que nadie pueda conocer con qué dirección de email (utilizada como nombre de usuario) se accede al coche. Sin embargo, la solución más tranquilizadora exige que Tesla tome medidas para ofrecer sistemas de autenticación más fiables. Hasta el momento Tesla no ha comunicado nada al respecto.

No comments yet.

Deja un comentario