Halladas dos vulnerabilidades en los servicios web de BMW

Se han hallado dos vulnerabilidades en el sitio web de BMW que llevan tres meses descubiertas por Vulnerability Labs. La empresa de seguridad las comunicó de forma privada al fabricante de vehículos alemán para que las corrigiera, pero hasta el día de hoy no ha obtenido ninguna respuesta, por lo que ha decidido hacerlas públicas para ver si BMW por fin reacciona.

La primera de estas vulnerabilidades permite a un usuario tener el acceso al número de bastidor (VIN – Vehicle Identification Number) de un vehículo que no es suyo. El número de bastidor es adjuntado a cada cuenta de usuario, siendo utilizado para respaldar la configuración de ConnectedDrive. Esto quiere decir que todos los cambios que se hagan desde la interfaz web de ConnectedDrive terminan afectando a la configuración del vehículo.

Vulnerability Labs ha conseguido saltarse el proceso de validación del inicio de sesión que utiliza el número de bastidor, pudiendo utilizar otro para acceder a la configuración de un vehículo distinto y modificar opciones como el bloqueo y desbloqueo del vehículo, manejar listas de reproducción de canciones, acceder a cuentas de email, manejar rutas de desplazamiento, información del tráfico en tiempo real, etc.

La segunda vulnerabilidad es un bug de XSS (cross-site scripting) que afecta a la sección de restablecimiento de la contraseña del sitio web, que abre la puerta a las típicas complicaciones que se encuentran cuando se produce un ataque a un sitio web, como recolección de cookies, ataques CSRF, phishing, etc.

La informatización de los vehículos hará que la seguridad se convierta en un factor crítico en estos. Y esto no es alarmismo, porque ya se han reportado problemas relacionados con el hacking sobre vehículos, habiendo expertos que ya han avisado sobre los riesgos de tenerlos conectados a Internet.

Fuente | Softpedia