Portada
Hace 8 años | Por belfasus a es.gizmodo.com
Publicado hace 8 años por belfasus a es.gizmodo.com

El Nissan LEAF se puede hackear y controlar con un navegador desde cualquier parte del mundo

 es.gizmodo.com

¿Qué pasaría si pudiéramos controlar un coche que está en la otra punta del mundo desde un ordenador en nuestra casa? Es justo lo que ha conseguido hacer Troy Hunt, un investigador de seguridad informática y hacker, usando un navegador web, una conexión a Internet y un Nissan LEAF normal y corriente.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 1.9k 48

Comentarios

belfasus
autor

#4 Yo más bien pensaba en el secuestro expres, en acosadores, ladrones de coches.... esas cosas ya sabes

V 9
K 93
Asecas

#6 Que algo se pueda hackear no quiere decir que sea accesible para cualquier mindundi de la calaña que citas precisamente.

V 1
K 15
nergeia

#8 Los que saben venden los servicios a quien los necesitan.

V 4
K 51
belfasus
autor

#10 La palabra Hacker se usa para muchas cosas y más cuando hay periodistas de por medio. Una de las aceptaciones en seguridad informática de este término concierne principalmente a entradas remotas no autorizadas por medio de redes de comunicación como Internet.
La realidad es que, lo que ha hecho este hombre es entrar remotamente en un coche, que no es el suyo, gracias a que se ha puesto a explotar una vulnerabilidad de la herramienta de Nisan. La herramienta tiene un control de usuarios de cero. Que para acceder a cualquier coche Nisan solo necesite su numero de bastidor, el cual debe ser publico, y con ello pueda hacer todo lo que este señor ha demostrado que se hace y obtener los datos que se obtienen, es una vulnerabilidad de seguridad y un error de la aplicación y de Nisan.
Llamarlo Hackeo puede sonar algo extremo, ya que la aplicación no tiene seguridad de ningún tipo. Pero como bien dice #6 no es algo accesible a cualquiera, por lo que no me parece sensacionalista usar el termino Hacker

V 8
K 87
kucho

De forjar una url a hackear un coche hay un abismo

V 9
K 81
Aergon

Todo aparato con conexión a redes externas es susceptible de ser hackeado. Si quieres un coche sin brechas de ese tipo no compres uno con conexiones a internet o servicios similares

V 7
K 63
D

#5 Amen.

V 0
K 11
E

#5 en unos años tu mercado será la segunda mano o instalar un inhibidor de frecuencias ilegal

V 0
K 12
Aergon

#27 o como hago ahora que no tengo conexión de datos en el movil, las operadoras no regalan sus conexiones para casa ni para movil ¿Me van a obligar a pagar una mas para el coche? Si es así me parece un abuso supino

V 0
K 6
E

#41 lo pagará el fabricante como ya hacen Tesla o Nissan en algunos modelos.

V 1
K 18
Aergon

#42 en ese caso agradezco que Nissan haga evidente el problema de seguridad que supone controlar las funciones de un coche por internet. De haberlo protegido mas solo habría retrasado un debate importante, los vehículos son peligrosos, provocan muchas muertes ¿Es necesario exponer su seguridad a internet? ¿Que riesgos tiene? ¿Son evitables? ¿Merece la pena?

V 0
K 6
D

#5 No, el problema es que los de Nissan permiten hacer todo mediante una simple petición HTTP GET sin ningún tipo de autenticación.
Lo suyo sería que usara un certificado o similar instalado en el vehículo para autenticar y cifrar las conexiones. Ahí ya no sería tan sencillo acceder a esos datos.

V 2
K 19
Aergon

#33 haciendo evidente lo peligroso que es dotar de control por internet a un vehículo. Si quieres seguridad la única opción es aislar todo lo posible los sistemas informáticos. Conectar a internet funciones de los coches es ponerles una diana para hackers, añadir medidas de seguridad solo sirve para retrasar lo evidente. Me parece genial que nissan sea tan descuidada al generar debate sobre el tema. Espero q sirva para abandonar la locura del internet de las cosas o mundo conectado donde un hacker, un bug o un gobierno puede apagar con un botón tus medios de pago, tus vehículos, electrodomésticos, inutilizar tu historial medico o el hospital entero

V 0
K 6
D

#43 Discrepo. Dependerá de que servicios se exponen y de como se garantice su seguridad. Controlar la temperatura del coche a distancia es una buena idea, enciendes la calefacción antes de salir y tienes coche calentito y cristales sin hielo. Si eso lo aseguras con autenticacion de dos factores y cifrado me parece más que asumible.

V 0
K 13
Aergon

#44 los sistemas que comprometen tu seguridad son por ejemplo los frenos y la dirección. Si el coche tiene frenada automática o aparca solo y conectas la centralita que lo controla a internet para que encienda la calefacción estas exponiendo elementos vitales a un ataque o un fallo. Como bien dices y estoy de acuerdo lo mejor es no exponer funciones que comprometan la seguridad a internet

V 1
K 19
D

#19 si la ruta sirve para causar algun problema como el caso del leaf que puede gastarte toda la batería es un hack te pongas como te pongas.

Si tengo una url a un servidor que provoca un "halt" o un "init 6" es un hack aunque el conocimiento tecnico para realizarlo sea para tontos. Lo uno no quita lo otro. Un hack no es un hack por la dificultad de encontrarlo o realizarlo si no porque es un agujero en sí

V 5
K 35
Homertron3
editado

#22 Los de Nissan crean una ruta que lo que hace es encender el aire acondicionado, la dan abierta y sin seguridad y ahora resulta que si la usas eres un estupendo hacker, va a ser que no.

#23 o me das el motivo o te guardas el comentario, aporta si eso...

V 3
K 28
D
editado

#29 No, no eres un estupendo hacker, puedes ser un completo gilipollas pero has encontrado un agujero de seguridad. Si una persona blinda todas las entradas de su casa con puertas de seguridad y tu encuentras una ventana abierta que el dueño ha puesto sólo para que entre el gato y entras a robar sigues siendo un ladrón aunque seas un inútil abriendo cerraduras

Y no te voy a argumentar más, estoy en la oficina y han visto este cometnario varios de mis compañeros, muchos expertos en seguridad y coinciden conmigo, si tu no lo aceptas pues vale, pero al diccionario me remito

V 0
K 11
Homertron3
editado

#9 más o menos, pero es que en este caso están accediendo a algo que SI está pensado para ello lol

Ejemplo: acceder a rutanissan/encenderaire?bastidor=_bastidor para encender el aire del coche con bastidor _bastidor.

Si tu vas y usas esa ruta no estás hackeando nada, simplemente la estás usando.

V 3
K 32
D

#10 Creo que te hace falta un poco más de conocimiento antes de hacer comentarios de este tipo.
Un saludo

V 0
K 10
anxosan

Un poquito sensacionalista sí que es, porque no es lo mismo decir que "El Nissan LEAF se puede hackear y controlar con un navegador" cuando sabes que "El control se limita al sistema de climatización".

V 2
K 25
Homertron3

Llamar hackeo a usar una url para usar las funciones que permite la API de Nissan quizás es exagerar un poco mucho...

No, eso no es un hackeo, es que los de Nissan son estúpidos al no crear rutas cifradas.

V 5
K 21
belfasus
autor

#2 Del articulo

Actualmente sólo se pueden controlar algunas funciones del aire acondicionado, calefacción y ventilación del coche, además de acceder a información como el estado de carga y su historial de conducción. Pero eso es más preocupante e importante de lo que podrías imaginar.

No sólo tenemos el clásico problema de privacidad de tener a disposición de cualquiera tus trayectos y destinos frecuentes, sino que si cualquiera podría, por ejemplo, hackear el aire acondicionado para que agote la batería del LEAF y así dejar a su conductor varado en alguna parte.

Lo de que se sepan los trayectos y destinos, a mi si que me parece algo preocupante. Lo otro, es una molestia. Aún así se deberían revisar los temas de seguridad.

V 16
K 185
Asecas

#3 Tienes miedo a que te pille la parienta de putillas o que? Mantente beta...

V 15
K -74
nergeia

#4 Piensa el ladrón que son todos de su condición.

V 1
K 19
Homertron3
editado

#3 esto... si, me he leído el articulo e insisto, eso no es hackear, eso es simplemente darle el uso normal a las funciones del coche.

El problema de seguridad está claro, pero no hace falta hackear nada para activar las funciones disponibles, así que no puede hablarse de hackeo, simplemente de ineptitud de Nissan.

V 3
K 21
D

#7 No tengo conocimientos en el tema, pero acceder a algo que no está pensado para ello no es hackear?

V 1
K 19
a
editado

#9 Cuando se habla de hackear mucha gente entiende que eso incluye rebasar alguna medida de seguridad minima.

Por ejemplo estas en un hotel buscando un baño, cruzas una puerta abierta y accedes a un espacio reservado para empleados.
Aunque ese espacio no este pensado para clientes, la puerta estaba abierta de par en par, seria logico llamar a eso hackeo ?, si no hay ninguna medida de seguridad que te impida cruzar esa puerta ?

V 0
K 7
D

#36 Bueno, para mi hackeo sería que has buscado esa puerta(soy totalmente lego en la materia, quede claro).
Es decir, algo que no está pensado para ti, y que no se te entrega a ti, tu lo encuentras y lo utilizas.
Si la puerta tenía un símbolo, ya deberías saber que no podrías entrar. Estaba abierta, si, pero no era para ti. Con esto es lo mismo (más o menos).

Quizás mi idea de hackear algo es demasiado laxa

V 0
K 8
a

#37 Para mi tu definicion si seria demasiado laxa, suele ser la definicion que usan los periodistas, que viene a ser, llamemos hackeo a casi cualquier delito o cosa impropia que se haga con ordenadores.

Por ejemplo si tu hermana te prohibe usar su ordenador y tu lo usas igualmente no es un hackeo, es simplemente un uso sin permiso.

Pero si el ordenador tiene contraseña y tienes que pensar alguna forma de saltarte esa proteccion (engañando al ordenador o engañando a tu hermana para que te descubra la contraseña), en ese caso si se podria considerar hackeo.

V 0
K 7
D

#2 No, no es exagerar

hack 1 (hăk)
v. hacked, hack·ing, hacks
v.tr.
1. To cut or chop with repeated and irregular blows: hacked down the saplings.
2. To break up the surface of (soil).
3.
a. Informal To alter (a computer program): hacked her text editor to read HTML.
b. To gain access to (a computer file or network) illegally or without authorization: hacked the firm's personnel database.
4. Slang To cut or mutilate as if by hacking: hacked millions off the budget.
5. Slang To cope with successfully; manage: couldn't hack a second job.

http://www.thefreedictionary.com/hack

V 4
K 41
Homertron3

#13 no tío, lecciones de diccionario no

Al menos comprende lo que ennegreces, "obtener acceso ilegalmente o sin autorización", bien, pero no es el caso.

Ahí está la ruta, usarla no es ilegal y no necesitas autorización, así que no, usar una ruta no es hackear...

Por cierto, que ya lo han chapado: http://es.gizmodo.com/nissan-suspende-el-servicio-que-permitia-hackear-y-cont-1761245435

V 1
K 19
D

#15 Comentando sin acritud, a ti no te lo parece pero a mi sí y soy ingeniero informático.

Han hecho bien en desactivarlo

V 1
K 14
Homertron3

#18 pues ya somos dos. El día que usar una ruta signifique hackear yo me bajo del burro el primero...

V 0
K 8
avalancha971

#19 Usar una ruta es de primero de escuela de hackers, pero lo es.

Se trata de un hackeo al no ser URLs públicas.

Si la aplicación permitiera generar todas esas peticiones sin autorización, no habría hackeo. Pero la aplicación requiere una autorización para poder lanzar esas peticiones con un número de bastidor que previamente ha autorizado la aplicación. El hecho de que la autorización se compruebe en el cliente y no en el servidor es un fallo de seguridad gordísimo.

V 0
K 6
Homertron3

#47 en fin, aceptaré que decir 1+1=2 son, a fin de cuentas, matemáticas.

V 0
K 8
dankz

Curiosamente hace nada he terminado un curso de seguridad informática y viendo esto es que es para correr a gorrazos a los de Nissan. wall

V 1
K 21
D
editado

#21 un coche es prácticamente el número de bastidor. El problema de seguridad es básicamente que el número de bastidor sea conocido.

Como tu DNI y los datos de la tarjeta.

V 0
K 10
dankz

#31 El asunto este no es extraordinariamente crítico pero da muy mala imagen en cuestión de seguridad. Ya que estas usando https cifra también todos los datos que requieras y pide un dato adicional que no sea público como el VIN ( una clave exclusiva para el vehiculo ).

V 0
K 11
Mister_Lala

Yo jamás me compraría un coche que se llama Nissan LEFA. A saber qué hacen en los test de fábrica.

V 2
K 18
T

#24 Mitsubishi Pajero 2.0

V 0
K 7
Candidatas
17
meneos
tecnología Los sistemas de IA ya son expertos en engañar y manipular a los humanos
8
meneos
tecnología Cómo crear tu propio Flipper Zero con una Raspberry Pi
9
meneos
tecnología Google Messages está empezando a desplegar lentamente una opción para editar el texto enviado [EN]
11
meneos
tecnología El buscador de OpenAI con ChatGPT llega el próximo lunes, según Reuters. Justo un día antes del gran evento de Google
5
meneos
tecnología Top 10 de fabricantes de turbinas eólicas: Goldwind encabeza la revolución china que toma cuatro de los cinco primeros puestos
13
meneos
tecnología SEAT confirma que está trabajando en un coche eléctrico de 20.000 euros
28
meneos
tecnología Stack Overflow banea a los usuarios en masa por rebelarse contra su asociación con OpenAI: los usuarios eliminan las respuestas para evitar que se utilicen para entrenar a ChatGPT [ENG]
11
meneos
tecnología "Estoy enganchado a TikTok": el mapa de las adicciones en España está cambiando
5
meneos
tecnología Immaterial 2024: La intersección entre lo digital y lo humano
6
meneos
tecnología PS Plus, Xbox Game Pass y otros servicios no están creciendo, y llevan estancados varios años. El gasto en suscripciones apenas ha aumentado en EE.UU
7
meneos
tecnología Mindows es un proyecto chino que instala Windows 11 en muchos móviles Android
6
meneos
tecnología Dmitry Khoroshev: El hacker más buscado del mundo por el que EEUU una jugosa recompensa
7
meneos
tecnología Las Startups españolas denuncian prácticas anti-competitivas de Microsoft ante la CNMC
14
meneos
tecnología Hemos recorrido 2.500 kilómetros con un coche eléctrico y hemos aprendido algo: el diésel sigue siendo el rey
10
meneos
tecnología Microsoft alcanza un hito: firma el acuerdo más grande de energía renovable para impulsar su IA
7
meneos
tecnología ¿Una sola carga a la semana? Los nuevos coches eléctricos ya lo permiten
8
meneos
tecnología Optimus, el robot de Tesla, se venderá a fines de 2025: ¿qué podrá hacer y cuánto costará?
8
meneos
tecnología Científicos chinos crean una batería de agua con el doble de capacidad que las de litio
52
meneos
tecnología De negar el COVID al Falcon: así trabaja la factoría de bulos que surte de munición a la extrema derecha
7
meneos
tecnología La empresa española que recicla baterías de vehículos eléctricos y las vende mucho más baratas
D

Por el titular parece que puedas secuestrar el coche y estrellarlo.

V 1
K 12
D

Agente le juro que yo lo dejé bien aparcado y el solito se ha puesto en doble fila.

V 0
K 11
powernergia

Como se dice ahora: "Problemas del primer mundo".

V 0
K 11
M

Ni privacidad ni leches. Lo chungo sería que en un viaje Sevilla- Santander, pongo por caso, el hacker te metiera Melendi todo el camino. Para hacer un recto voluntario en Despeñaperros, como mínimo.

V 0
K 9
Tarambanasus

Esto con un Corsa no te pasa

V 0
K 7
tribulete72

Vale que es una cagada, pero el que ha descubierto la vulnerabilidad podria haber esperado un poco. El mismo dice que NISSAN le respondio enseguida y que se comporto de manera ejemplar.
Cambiar estas cosas no es algo sencillo. No es como actualizar el PC de tu casa.

V 0
K 6
Quitatelavenda
editado

¿Qué pasaría si está en circulación? Ya se sabe 💀

V 0
K 6