FALLO DE SEGURIDAD PREOCUPANTE

[jalvarez]

Hola:

Os paso una noticia que es bastante preocupante. Si preocupante es el problema, casi igual de preocupante es la solución.
http://unaaldia.hispasec.com/2015/02/bm ... l#comments
http://www.reuters.com/article/2015/01/ ... VD20150130
http://unaaldia.hispasec.com/2013/07/in ... rar-y.html

Transcribo literalmente el contenido del correo que recibí de "una-al-dia":

BMW ha confirmado que ha tenido que actualizar el software de 2,2 millones de coches de las marcas BMW, Mini y Rolls Royce debido a una vulnerabilidad que podía facilitar a un atacante la apertura del automóvil.

El problema fue anunciado por la asociación de automovilistas alemanes ADAC y afectaba a los coches equipados con el software ConnectedDrive con tarjeta SIM. Este sistema permite controlar el vehículo a través del Smartphone. Desde un iPhone o Android, se puede entre otras funciones cerrar y abrir el coche, hacer que las luces parpadeen, que suene el claxon o encender la calefacción de forma remota.

BMW ha confirmado que el fallo de seguridad se daba en la transmisión de datos entre el teléfono móvil y el coche, añadiendo que no afectó a funciones críticas de conducción, arranque, dirección o frenado Tampoco se tiene conocimiento de que el problema haya sido empleado para
comprometer la seguridad de ningún vehículo.

La misma función de conectividad del software del automóvil, ha permitido a BMW actualizar de forma automática todos los sistemas afectados sin necesidad de pasar por el taller.

No se tienen muchos datos concretos sobre la vulnerabilidad, pero la firma alemana dice haber eliminado los posibles problemas mediante el cifrado de las comunicaciones en el interior del coche empleando el protocolo https. ¿Esto quiere decir que anteriormente las comunicaciones no iban cifradas?¿Se puede hacer un ataque hombre en el medio contra el coche?.

Cada vez los coches disponen de más sistemas informáticos, y ya muchos disponen hasta de conexión a Internet. Esto expone al software del automóvil a los mismos riesgos que cualquier otro sistema conectado a la Red. No es la primera vez que se encuentran problemas que pueden permitir a un atacante tomar el control del software de un automóvil.

A mi me preocupa que se pueda realizar la actualización remota del software de mi vehículo, sin que yo me entere y sin intervención humana, porque igual que se puede utilizar para un buen fin, también se puede utilizar con fines perversos, piensese en la obsolescencia programada, modos de funcionamiento del vehículo, trazabilidad de los desplazamientos (esto también lo hace Google con los móviles que incluyen sus sistema operativo Android, pero de momento eres tú quien habilita o no el servicio en el móvil), etc. Si técnicamente es posible actualizar el software, técnicamente es posible modificar el control.

Una de las posibles preguntas es: ¿Sabian los propietarios de vehículos BMW que sus vehículos tenian esta funcionalidad de actualización remota del software sin su intervención?.

El que quiera profundizar más sobre el control de los vehículos Jaguar y saber donde va el software, le recomiendo una lectura del siguiente post, que escribí hace algún tiempo sobre el menú oculto ETM:
http://www.forojaguar.com/foro/viewtopi ... =23&t=7832

Me pareció importante esta noticia y por dicha razón, la comparto con vosotros
Saludos
Javier

[David]

Joe. Vaya tela.
Por cosas como estas, cada día me gusta más mi viejo XJR. Te montas, le das a la llave y ya está.
Creo que se está perdiendo un poquito lo del placer de, simplemente, conducir.

[jaguar97]

Joe. Vaya tela.
Por cosas como estas, cada día me gusta más mi viejo XJR. Te montas, le das a la llave y ya está.
Creo que se está perdiendo un poquito lo del placer de, simplemente, conducir.

Y que lo digas nuestros xj carecen de este tipos de historias y lo mejor de todo es que son incluso pasado los años mucho mas exclusivos que cualquier coche actual , fiables y de muy fácil manejo .

Saludos

[David]

Joe. Vaya tela.
Por cosas como estas, cada día me gusta más mi viejo XJR. Te montas, le das a la llave y ya está.
Creo que se está perdiendo un poquito lo del placer de, simplemente, conducir.

Y que lo digas nuestros xj carecen de este tipos de historias y lo mejor de todo es que son incluso pasado los años mucho mas exclusivos que cualquier coche actual , fiables y de muy fácil manejo .

Saludos

¡Ya ves!
Este domingo salí a pasear con el XJR y fue ponerle la llave y arrancar. Y ya está. Dejar que se caliente mientras le quito la funda y a rodar. Y ni uno igual.
¡Vivan los trastos viejos!

[luisabel9090]

+1!

[ajrd10]

+1
Menos problemas con los veteranos

[jalvarez]

Hola:

Me vais a permitir, con el mayor de los respetos, que llame vuestra atención no sobre aspectos nostálgicos de que suerte teneis algunos, sino sobre un hecho que creo que es muy grave, como que alguien decida que modifica el comportamiento de tu vehículo sin que te consulten y sin que haga falta otra cosa que las ganas de hacerlo.

Los propietarios de vehículos Jaguar ¿sabemos algo acerca de si los nuevos modelos Jaguar incluyen dicha funcionalidad? digo yo que este foro también lo leeran responsables de la compañía y algo nos podrian decir, porque seria una razón de peso para no adquirir un vehículo que incluya semejante agujero de seguridad.

Saludos
Javier

[jinigor]

Comunicado oficial de BMW Group al respecto:
http://www.clasicosalvolante.es/bmw-con ... los-datos/

[jalvarez]

Comunicado oficial de BMW Group al respecto:
http://www.clasicosalvolante.es/bmw-con ... los-datos/

Hola:

Lo que yo quiero poner en evidencia no es que los vehículos de BMW han tenido un problema, lo que yo quiero poner en evidencia, es que BMW modifique el comportamiento de sus vehículos sin que su propietarios se enteren. !!Eso es lo realmente grave!!.

En informática todos sabemos, incluso está formalizado a nivel de chascarrillo: "Los programas nunca funcionan y cuando por fin funcionan , ya nadie los usa porque están obsoletos y hay quie cambiar de versión"

Que haya un error en un programa forma parte de lo esperado, lo que uno no se espera, es que si eso te afecta, ni te enteres de que supuestamente te lo resuelven y tu sin enterarte ni que han resuelto ni cual era el problema.

Espero que en la Union Europea hagan algo al respecto, porque me aprece intolerable tal intromisión en el ámbito privado. Veamos las cosas en su cruda realidad y sin paternalismos.

Saludos
Javier

[luiscarcountry]

Yo creo que hemos perdido un poco el norte con todas estas cosas.Esta claro que si te gusta volar en ala delta,corres el riesgo de estamparte.Claro,que el placer de volar es incomparable,lo se por que lo he hecho,pero no veo donde leche(con perdón) está el placer de encender la calefacción del coche con el móvil y zarandajas similares...en fin,debe ser el signo de los tiempos.Yo no creo que jamás me pase,lo de estamparme,por que soy prudente.Lo del esmarfon seguro que no me pasará jamás!
Saludos a todos y paciencia.

[David]

Si, el norte está muy perdido. Creo que ahora miramos al sur.
Y respecto a lo que dice Álvarez... manda hue... que te "actualicen" el coche sin tu enterarte. Imaginaos que por un casual, una actualización afecta a la dirección o los frenos y éstos dejan de funcionar...
Dentro de poco te vas a comprar un teléfono y te van a regalar un coche

[luisabel9090]

Pero esto no pasa también con los ordenadores y los smartphones?
Tal vez esto sólo sea una característica más de la era digital.

[jalvarez]

Hola:

Es que no estamos hablando de la tecnología sino de la utilización perversa de la misma.

En línea con la reflexión de David. Supongamos que está bajando la facturación de los S.O., muy fácil, se modifican los valores de consigna con los que se encienden las lucecitas de asustar y problema resuelto. ¿Alguno de vosotros dispone de cuales son los valores de consigna en base a los cuales se activa la luz testigo del cuadro de instrumentos sobre avería en el motor?. La respuesta es NO, ni de los actuales, ni de los de hace 10 años, ni de los de dentro de 10 años. Esto es consecuencia de la falta de transparencia que perversamente se argumenta como derechos de propiedad intelectual. Pero es una gran falacia, porque una cosa es QUE se hace (información), otra COMO se hace (conocimiento) y otra POR QUE se hace (comprensión), el COMO y el POR QUE si son propiedad intelectual, pero el QUE no.

¿Alguien cree que cuando lleva el vehículo a que se lo diagnostiquen conectándole la sonda software (la máquina como se dice por aquí), relamente el que lo está haciendo sabe del todo lo que hace?. pues no, simplemente la sonda dice error tal, cámbiese cual. Y no es lo mismo limpiar un sensor que está generando un "falso positivo" o un "falso negativo", porque está sucio o se ha estropeado, que sustituir el componente completo. Sin ir más lejos, supongamos que el sensor que mide la presión del turbo de salida está mal. La sonda genera un DTC (código de error) que indica que el problema está en uno de los 2 turbos, incluso indica cual. Si lo que está mal es el sensor, la sustitución del mismo serán unos pocos euros, si te cambian el turbo completo, incluido el sensor, efectivamente el problema se resuelve, pero a que precio.

¿Se entiende mejor ahora por qué no debería ser posible cambiar el software de control de ninguno de los ECU sin que el propietario del vehículo se entere?. Y no valen argumentaciones perversas de que le han puesto una SIM de telefonía GSM para localizarlo en caso de robo, una cosa es esa utilidad y otra muy distinta es utilizar esa posibilidad en plan golfo. Tengo claro, que si puedo no compraré un vehiculo de ningún fabricante con semejante golfería.

Saludos
Javier

[citronio]

Totalmente de acuerdo con Jalvarez. Y apoyo la opinión de que cada vez está todo mas informatizado y sobrecontrolado , que en muchos aspectos puede venir bien e incrementar la seguridad al volante, pero es que además en el automovil cunado mas chismes electricos, mas problemas y mas desfase en los productos.
Ya sabeis que yo llevo 12 años en la venta del automóvil. Pués in animo de fastidiar, cuando estaba en citroen y Peugeot fué cuando mas disgustos y discusiones tenia con clientes y todo era debido a porblemas electricos y electrónicos, fallos de pantallas, etc...
Y aunque con mi S tyoe del 2005 soy el mas feliz del mundo, cada vez que me subo y lo arranco estoy con la tensión de que no me falle algo electrico por que se lo jodido que es de encontrar, reparar y pagar
Lo de BMW es un tema que se verá en el futuro en muchos casos y muchas marcas. Y poniendo un ejemplo, miedo me da la tontería de ir pagando ahora por los comercios con el movil. Con tanto wifi, bluetooth y ondas por este mundo de Dios sumado a tanto amigo de lo ageno y estudioso de lo ilegal.
saludos
Pepe

[David]

Con tanto wifi, bluetooth y ondas por este mundo de Dios

... más de uno se va a quedar calvo