La próxima vez que salga de su coche en un aparcamiento, asegúrese de no dejar sus objetos de valor en ella, sobre todo si se trata de un Volkswagen.
Lo más preocupante? El nuevo ataque se aplica a prácticamente todos los automóviles Volkswagen vendidos desde 1995. Hay dos vulnerabilidades distintas presentes en casi todos los coches vendidos por el grupo Volkswagen después de 1995, incluyendo modelos de Audi, Skoda, Fiat, Citroen, Ford y Peugeot.
Científicos de la computación de la Universidad de Birmingham y la empresa de ingeniería alemán Kasper y Oswald planean presentar sus investigaciones [ PDF ] más adelante esta semana en la conferencia de seguridad Usenix en Austin, Texas.
Ataque 1 – Uso de transceptor RF basado en Arduino ( costo $ 40 )
El primer ataque se puede llevar a cabo utilizando un dispositivo de radio barato que se puede hacer por sólo $ 40 con una pequeña placa de control y un receptor de radio, pero es capaz de espiar y registrar los valores de código de rodadura utilizados por los sistemas de entrada sin llave. Los valores de código son incluido en la señal enviada cada vez que un conductor presiona los botones del llavero de control remoto, que luego se utiliza en conjunto para emular una clave que es única para cada vehículo. luego, los investigadores lograron realizar ingeniería inversa de un componente dentro de la red de un Volkswagen y fueron capaces de extraer una clave criptográfica que se comparte entre los millones de vehículos de Volkswagen. Ahora, la combinación de las dos claves secretas supuestamente, los investigadores fueron capaces de clonar el llavero de control remoto y el acceso al coche.
«Con el conocimiento de estas teclas, un adversario sólo se tiene que escuchar a escondidas una sola señal desde un control remoto de destino», escribieron los investigadores en su artículo. «Luego, él puede descifrar esta señal, obtener el valor de UID y contracorriente, y crear un clon del mando a distancia original para bloquear o desbloquear las puertas del vehículo objetivo un número arbitrario de veces.»
Aunque el equipo no reveló los componentes que se utilizan para extraer las claves para prevenir los posibles piratas informáticos.
Sin embargo, advirtieron que si los piratas informáticos cualificados pueden encontrar y dar a conocer las claves compartidas, cada uno podía salir a decenas de millones de coches vulnerables. En últimos 20 años, sólo las cuatro teclas más comunes se utilizan en todos los 100 millones de coches vendidos por Volkswagen. Sólo el más reciente modelo VW Golf 7 y otros que utilizan claves únicas son inmunes al ataque.
Ataque 2 – Secuestrar con HiTag2 y un dispositivo de radio en 60 segundos
En el segundo ataque, el equipo logró atacar un esquema criptográfico denominado HiTag2 -. Esquema de código variable antiguo, pero todavía se utiliza en millones de vehículos, incluyendo Alfa Romeo, Chevrolet, Peugeot, Lancia, Opel, Renault, Ford y Para llevar a cabo este ataque, necesita todo un hacker es una configuración de radio similar a la utilizada en el truco anterior.
Con el uso de un dispositivo de radio, los investigadores fueron capaces de interceptar y leer una cadena de las señales codificadas (rodando número de código que cambia de forma impredecible con cada botón) del llavero del conductor. Con la colección de códigos variables, los investigadores descubrieron que los fallos en el esquema HiTag2 les permitirían obtener la clave criptográfica en tan sólo un minuto.
Puesto que los dos ataques anteriores se centran en el desbloqueo de coches en lugar de robarlos, el investigador principal, Flavio García dijo a Wired que estos ataques pueden ser combinados con los bugs ya expuestos en los sistemas HiTag2 y Megamos «inmovilizador», lo que permite que millones de Volkswagen y otros vehículos que van desde los Audi a Porsche puedan ser interes de los ladrones . »
Teniendo en cuenta estos riesgos, en abril de este año, en el Senado del estado de Michigan propusieron dos proyectos de ley que introducen cadena perpetua en prisión para las personas que pirateen coches con sistemas electrónicos ‘.
Además, el FBI emitió un anuncio público advirtiendo a la gente sobre los riesgos de la piratería coche.