Con 'recordar', Fiat Chrysler empeora su pirateo de automóviles

Después de que Wired mostró a dos piratas informáticos obtener acceso de forma remota e inmovilizar un Jeep en movimiento explotando vulnerabilidades de software la semana pasada, Fiat Chrysler respondió parcheando la vulnerabilidad en varios modelos de Jeep, Dodge y Chrysler que estaban equipados con el software Uconnect que fue pirateado. Sin embargo, cómo hicieron para emitir el parche puede poner a los clientes de la compañía aún más en riesgo.

En lugar de simplemente tratar el parche de software como un retiro tradicional (es decir, exigirles que visiten un centro de servicio y que un experto haga la reparación), Fiat Chrysler está enviando una memoria USB a los propietarios de los automóviles afectados. A partir de ahí, los propietarios de los automóviles pueden conectar la unidad USB al puerto USB de los automóviles para parchear la vulnerabilidad del software. Esto parece una manera conveniente de emitir un retiro por algo que los propietarios de automóviles pueden arreglar. 

Sin embargo, como bien sabría cualquier persona con experiencia en ciberseguridad, esto abre una gran ventana de procedimiento para los piratas informáticos que pueden estar dispuestos a explotar la vulnerabilidad para tomar el control del automóvil. Carl Leonard, analista de seguridad principal de Raytheon Websense, dice que esto crea una oportunidad fácil de ingeniería social y utiliza un método de distribución notoriamente vulnerable en la unidad USB.

"La decisión de Fiat Chrysler de enviar memorias USB a los clientes directamente para reparar la vulnerabilidad reciente es el equivalente de seguridad de agitar un trapo rojo a un toro", dice Leonard. "Los hackers, muy expertos en aprovechar las tácticas de indecisión e ingeniería social en tiempos de crisis, podrían utilizar esta oportunidad de reparación de USB para obtener ganancias nefastas".

Para aquellos que poseen estos autos, intentar reparar la vulnerabilidad de seguridad podría terminar siendo contraproducente si son atacados por piratas informáticos.

"[Los piratas informáticos] podrían, por ejemplo, parodiar la actualización con una carta falsa y una memoria USB propia, permitiéndoles lanzar una multitud de escenarios de amenazas de la vida real, que incluyen estrellarse o robar el automóvil", agregó Leonard. "Esto ni siquiera tiene en cuenta la incertidumbre de que el parche USB se haya aplicado correctamente sin ninguna consecuencia negativa para la operación segura del vehículo".

Todo esto parece especialmente tonto cuando se considera que Fiat Chrysler también ha puesto a disposición la actualización para descargar en su sitio web, además de ofrecer servicio en sus concesionarios. Por lo tanto, la oferta de enviar un dispositivo USB precargado nunca fue realmente necesaria en primer lugar.

Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.