Cómo hackear un vehículo

Los expertos de S21sec, multinacional especializada en ciberseguridad, han llevado a cabo una investigación en España, con pruebas en laboratorio y en el mundo real, de los sistemas TPMS inalámbricos disponibles en la mayoría de vehículos actuales –En un vehículo dotado de TPMS inalámbrico cada neumático incluye un sensor que mide diversos valores y los transmite de forma periódica a una ECU (Unidad de Control de Motor). En caso de pérdida significativa de presión en el neumático, por ejemplo, el conductor es alertado-.

Los investigadores descubrieron que la gran mayoría de estos sistemas transmiten en texto plano los valores medidos, acompañados de un identificador único, el cual podría captarse desde una estación receptora para verificar la presencia de un vehículo concreto o establecer patrones de uso. Es también posible realizar algunas acciones maliciosas activas contra el TPMS, como hacer que el vehículo piense que está teniendo un problema en un neumático, o en el sistema. El resultado puede ir desde el simple encendido del testigo a que el vehículo entre en modo de seguridad limitando la velocidad máxima.

Decididos a determinar cuál es riesgo en la actualidad de este tipo de dispositivos realizamos pruebas tanto en nuestro laboratorio como en el mundo real. Para ello empleamos un receptor de radio de bajo costo del tipo RTL-SDR , un dongle receptor de televisión digital que con los drivers adecuados se convierte en un receptor SDR. El precio en el mercado de estos dispositivos es ciertamente bajo pudiendo encontrase desde 8 euros, mientras que la disponibilidad de miniordenadores del tipo RaspberryPi u OrangePi facilita crear una estación receptora completa por menos de 40 euros. Por otro lado los sensores TPMS si queremos realizar ingeniera inversa sobre ellos los podremos encontrar en desguaces desde los 12 aproximadamente.

En cuanto al software requerido existen diversos proyectos de código libre que implementen la recepción de TPMS de diferentes fabricantes. De ellos el mas sencillo de utilizar es rtl_433 un proyecto de decodificador multiprotocolo destinado a recibir dispositivos en banda ISM de corto alcance, que es la empleada por los sensores TPMS. Este software es capaz de recibir los sensores del protocolo Citroen (empleado también por Peugeot, Fiat y Mitsubishi entre otros), Schraeder (utilizado por ejemplo por Mercedes, Audi, BMW, Chrysler, Jeep, Hyundai, Kia, Porsche y VW) así como Steelmate un sistema aftermarket que no llegamos a detectar en uso durante nuestras pruebas.

¿Qué hay de las afirmaciones de los fabricantes en cuanto que es difícil recibir este tipo de transmisiones? Usando nuestro TPMS de pruebas comprobamos que es perfectamente posible captarlo a 20 metros incluso ubicado dentro de un vehículo. Continuamos conectado nuestra pequeña estación receptora a una antena base omnidireccional de radioaficionado en un entorno residencial y conseguimos recibir rutinariamente TPMS de vehículos que circulan por la zona a más de 100 metros de distancia. Finalmente realizadas pruebas en un entorno ideal de línea de visión directa en campo abierto y con una antena de alta ganancia direccional conseguimos elevar este número hasta los 400 metros.

En seguridad informática se suele decir que dada la existencia de una vulnerabilidad la tendencia será siempre a rebajar el listón de la dificultad de explotación. Algo que aquí podemos ver claramente pues en pocos años se ha pasado de ataques en el ámbito académico a la posibilidad de que cualquier aficionado pueda montar una estación receptora con unos pocos euros y horas de trabajo.

Conclusiones:

• El hackeo de vehículos es un riesgo incremental y al alcance de cualquiera: En pocos años se ha pasado de ataques en el ámbito académico a la posibilidad de que cualquier aficionado pueda montar una estación receptora con unos pocos euros y horas de trabajo.
• Los flancos de riesgos aumentan: Los sensores TPMS son solo una pequeña parte de la superficie de exposición inalámbrica del automóvil, a ellos se añaden otros como mandos del cierre centralizado tradicional o mediante aplicaciones móviles, sistemas de arranque sin llave, asistencia remota integrada a través de redes móviles, geo-localizadores anti-robo, navegadores que integran junto al GPS la información de tráfico, etc. Todos ellos utilizan comunicaciones vía radiofrecuencia susceptibles de tener implicaciones de seguridad informática y privacidad.