Fiat Chrysler (FCA) decidió retirar 1,4 millones de vehículos en EEUU para realizar una actualización de sus sistemas informáticos, tras el hackeo de un modelo Jeep Cherokee por parte de dos investigadores. Los vehículos afectados son el Jeep Grand Cherokee y la Cherokee de 2014-2015, las camionetas RAM 1500 (2013-2015), los Dodge Viper (2013-2015), Durango (2014-2015), Challenger (2015) y los Chrysler 200 y 300 (2015). Afirman que tomaron el control y lograron imponerle al conductor, un periodista de Wired, maniobras que éste no controlaba.
Comentarios
Instalando actualización 1 de 89.
No apague ni desconecte el vehículo
Ya veréis qué gracia salir con prisa para el trabajo dentro de unos años
#4 Ahora mismo, con el ordenador me toca mucho los narices
#4 "Perdone, ¿tiene algo con una distro GNU/Linux?"
#39 ¿Stallman va en bici a todas partes? El pobre hombre ya no puede confiar ni en los coches.
#39 y depende cual te metan, como te metan un ubuntu, fijo que te peta entre versión y versión y te deja de funcionar la radio, el cambio, o el freno, a saber!
#49 Si me viene con Unity quemo el coche
#4 no es tontería, hace tiempo leí que la actualización de sistema realizada en taller oficial de un Mercedes tarda varias horas. Un coche tiene muchos ordenadores conectados por kilómetros de cable.
Si un día no hace falta llevar el coche al taller y se hace en casa pasará lo que dices.
#45 Estos de mercedes.... Nunca aprenden.
Implementar un sistema como el onstar que no es necesario, salvo para el control de las corporaciones y de la policía de tu vehículo es un tremendo error, me alegro que la caguen y espero que no llegue aquí.
Leí por ahí (creo que en reddit) que ahora todo los vehículos llevan ese sistema o similar de cada marca, aunque no lo quieras te lo meten desactivado (seguramente podrán activarlo remotamente).
El nivel de control de los estados y de las corporaciones que nos están imponiendo gracias a la tecnología nos lleva a un futuro muy feo y que nos debería de dar bastante miedo, pero la gente parece que no se inmuta, nos dejamos llevar como ovejas que van al matadero.
#5 Es más sencillo que todo eso. El problema viene cuando metes a ingenieros de coches a desarrollar software.
#6 No, el problema es que la fiabilidad en la seguridad al 100% no existe, así que si no necesitas un ordenador critico conectado a internet no lo conectes.
Lo otro no se donde lo sacas.
#7 el error estaba provocado en el equipo multimedia, o sea, la radio, que tenía acceso al bus de datos de control del coche.
Normalmente no accedes a esos servicios ni conectándote al bus del coche vía interfaz estándar. Pero chrysler no separó bien los 2 sistemas, el crítico y el de confort.
#8 Los sistemas que están metiendo en los coches permiten a la policía frenar un coche en marcha o bloquear un coche desde la central.
Si alguien puede conectarse es cuestión de tiempo que alguien que no pueda lo consiga.
Sea por un lado o por otro, simple y llanamente. Posiblemente que este conectado a la radio no fuera ni un error ya que seria una forma de usar el receptor para mandar actualizaciones o provocar un frenado o el bloqueo.
#9 Me cuesta creer. Si fuese un sistema del Gran Hermano, lo habrían protegido mejor. No niego que no existan cajas negras o que alguien haya metido un backdoor en algún coche (Sólo de pensar en las actualizaciones de Tesla, tiemblo). Tengo un amigo que trabaja en ese tema, y me decía que flipaba con lo que se le podía hacer a un Mercedes, siempre que tengas la documentación adecuada y/o mucha intuición.
Básicamente, todos los hacks que hay en coches atacan el CAN-BUS. Por ejemplo, este blog da una introducción básica usando hardware arduino.
http://www.instructables.com/id/Hack-your-vehicle-CAN-BUS-with-Arduino-and-Seeed-C/?ALLSTEPS
El CAN-BUS se diseño hace unos cuantos años y el único problema de seguridad que le veían era que los controles domésticos del coche no interfiriesen con la seguridad. O sea, que no toques la bocina, se sature el bus y no lleguen los datos de giro de las ruedas al ABS. Recuerdo que algunos propietarios de los primeros 306 (¿o 307?) se quejaban de que las luces tardaban en encenderse o de que la bocina a veces no pitaba en su momento.
El problema es que se ha ido añadiendo una capa de hardware/software brutal, montando auténticos ordenadores en la cónsola de los coches, por ejemplo, para el navegador. Y se les ha añadido wifi y bluetooth.
Y nadie pensó que esos trastos estaban conectados al CAN-BUS, con lo que si consigues hackear la "tablet" del salpicadero, y conoces los comandos que debes inyectar en el CAN-BUS para liarla parda, ya tienes un vector de ataque. Aunque es bastante difícil, por no decir imposible, activar los frenos, por ejemplo.
Por lo que he leído, Chrysler extendió el protocolo del CAN BUS para toda la ergonomía.Y no lo hicieron bien. Es decir, extendieron el bus para los controles de aire acondicionado, calefacción de asientos, cámaras traseras, sensores de proximidad, ventanillas, mover los retrovisores, etc.. Y algún listillo pensó que también podrían usarlo para controlar las reductoras o la dirección. En el hack de referencia, por ejemplo, da a entender que el coche se para, pero si lees bien dice que la velocidad se fue a la mitad y el pisó a fondo, viendo como las revoluciones subían, pero el coche no se movía. Le habían cambiado la relación del cambio.
Siguiendo con mi teoría, luego otro listillo instaló un dispositivo multimedia que es hackeable vía wireless (wifi o bluetooh probablemete), y que puede acceder directamente a ese bus. Y ya la hemos liado parda.
Tendría que escribir algo de esto en el blog, pero es que me da un palo...
#17 si pudiera, te votaría positivo.
Gracias.
#17 No entiendes todavía el problema, el problema no es que se hayan equivocado y conectado sin querer con la instrumentación de seguridad del coche, como frenos, volante y demás, estos nuevos sistema esta hecho para actualizar de forma wireless el firmware de la ECU, y presumian de ello, "actualizamos tu coche mientras duermes", y también detecta fallos en el coche y los transmite a la central, no es un error es una feature. El error es que es hackeable y siempre lo seguirá siendo. Incluso tarde o temprano saldra alguno que engañara al sistema y podrás subir tu propio firmware.
Aparte de lo dicho que permiten a la central bloquear un coche y a la policía frenarlo en marcha, esto no seria posible si separas los sistemas. Lo que reafirma lo dicho es una feature no un error.
Seguirá siendo así salvo claro esta que ahora les duela el coste y separen el tema, entonces ya no seria posible parar a la policía los coches y demás.
No es el primero que hackean, en la DefCon de hace unos años hackearon otro pero como este no tenia wireless necesitaban acceso físico para instalarselo, ahora se lo dieron servido.
#17 O sea el problema está relacionado con usar un mismo bus para datos críticos (frenado) y para datos no críticos (aire acondicionado). O eso me parece a mí.
#17 Lo vi antes de que apareciese en Menéame y no tengo tiempo de comprobarlo de nuevo pero lo que le hacen al coche del vídeo es desacoplarle la transmisión.
#17 Le pone la n.
#17 muy interesante tu comentario. Sólo una pequeña corrección, fue el Peugeot 307 el problemático y lo fue de forma muy grave y en gran cantidad. Tanto fue así que se llegaron a dar casos de devolución integra del dinero por imposibilidad de resolver las múltiples averías eléctricas y electrónicas. Simplemente estaba mal diseñado y hasta que no se sacó una versión nueva del coche o restyling no se solucionó
#17 Los fallos en los 307 estaban causado por la Body computer o BSi. La bocina dejaba de sonar porque se rompía un microrelé interno que la activaba, lo mismo con las luces. Otro fallo era que se te encendían todos los pilotos del cuadro o se quedaba sin iluminación. Todo esto se producía por dos cosas; una porque les entraba humedad, esta situada a los pies del conductor al lado de la entrada de un ramal de cables que va al motor y la estanqueidad no era buena por lo que entraba agua cuando llovía. Otra causa es el estado de la batería, baterías con poca carga o de mala calidad provocan caídas de tensión que acaban corrompiendo el software.
Muchos de los problemas electrónicos están provocados por esto, las baterías. Un coche de última generación puede llevar hasta 40 unidades de control diferentes, estás no funcionan bien con tensiones por debajo de los 10V por eso se montan baterías tipo AGM que soportan mejor las descargas de tensión. Por eso si tienes un BMW E60 serie 5 y le montas una batería de plomo del Carrefour de 40 pavos acabarás jodiendo varias unidades de control.
Por cierto la redes CAN bus de un coche está diferenciadas. Tienes el CAN bus de tracción que controla Motor, ABS-ESP y caja de cambios que es un red de alta velocidad, luego tienes el CAN Bus de confort que controla los elementos del habitáculo; elevalunas, climatizador, etc y por último tiene la red MOST que controla el multimedia; Radio, navegador, teléfono,… Estas redes solo intercambian información a través de una gateway o unidad de enlace Can bus porque todas trabajan a velocidades diferentes. Es bastante imposible que desde una red MOST puedas controlar los freno o el motor, no vas a poder acelerar el coche, ni mucho menos frenarlo haciendo actuar el ABS. Lo que igual si puedes hacer es saturar la red y provocar que se pare igual que cuando te quedas sin batería.
#9 Please modelos, marcas, sistema, ejemplos, artículos, ¿modo de colectividad?, ¿vía radio como este caso?, ¿mi coche tiene una SIM y yo sin saberlo?, ¿GPS?... De verdad, no lo pongo en duda, pero me parece demasiado Gran Hermano para que solo lo sepan el diseñador del sistema, la policía y tú.
#30 No es secreto y es de sobra conocido. . Salvo la parte de la policía que evidentemente lo niegan, y que evidentemente como cualquier otro sistema si esta se aprovechan de el sin lugar a dudas, si te intervienen el móvil es más legal intervenirte el coche.
Este es uno de ellos como dije tambien en mi primer comentario (aunque hay otros)
https://en.wikipedia.org/wiki/OnStar
Y como digo en mi primer comentario son sistemas que llevan un poco de tiempo equipando en EEUU todos los vehículos y "que ojala no lleguen aquí"
#30 tu futuro coche nuevo llevará una sim por el sistema de e-call: http://www.etsi.org/news-events/news/960-2015-05-european-parliament-makes-ecall-mandatory-from-2018
La aplicación de detención remota parece ser que se comentó en el parlamento europeo: http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+WQ+P-2014-003004+0+DOC+XML+V0//EN&language=ro#ref1
http://www.statewatch.org/news/2014/jan/eu-enlets-wp-2014-2020.pdf pero en principio sin llegar a pasar de una petición.
#6 Si no lo has dicho en tono irónico, menuda tontería acabas de soltar. Es como si dices que los que diseñan o programan las máquinas en una fábrica de Donuts, son panaderos... De la parte informática se encargan ingenieros informáticos y de la parte mecánica, ingenieros mecánicos. Así de simple.
#20 Lo he dicho muy en serio, porque he visto Telecos e Industriales programar pensando en máquinas de estado y otras burradas. Evidentemente no puedo asegurarlo, probablemente no pueden ni en Chrysler, pero la "cultura" de empresa es muy fuerte. Y cuando un tío diseña coches, a lo mejor no piensa en vectores de ataque ni en seguridad.
Los problemas que vi hace años, en una importante cadena de supermercados, para que cambiasen la contraseña de todos sus servidores de tienda que, para más detalles, se correspondía con su marca. Y no te diré cual era la contraseña del wifi, pero la podías pillar en cualquier lado. Y te lo cuento hoy que se que ya lo han solucionado.
#5 Es una batalla perdida desde hace tiempo.
Los que temíamos por nuestra privacidad en los 90 y hemos visto la evolución de la tecnología, especialmente móvil, y por poner una referencia, la evolución LORTAD -> LOPD 99 -> LOPD 2007 lo tenemos muy claro.
Hay poco que hacer porque se ha conseguido que la sociedad de por bueno algo que hace décadas era el horror de la intimidad. Nuestras vidas en público, online, y si me apuras, en streaming, cosa que ya ocurre.
Nos reíamos de El Show de Truman.....
No nos queda ni nada por descubrir aún....
Solo espero que de alguna forma lleguemos a la conclusión que el cambio fue positivo para nuestros hijos.
Relacionada: Hackers hackean y controlan un Jeep de forma remota [ENG]
Hackers hackean y controlan un Jeep de forma remot...
wired.comAhora si a algun conductor de este u otro vehiculo vulnerable le ocurre un accidente, en los juicios por indemnizaciones y entre aseguradoras pueden alegar que hubo un tercero que crackeó el vehiculo y fue el responsable del accidente. Pueden utilizarlo para librarse de indemnizaciones, o para retrasar el pago con juicios, o para pedir indemnizaciones al fabricante. Con estos estudios se puede decir que se abre la duda razonable sobre si el causante de un accidente y de muertos ha sido el conductor o un tercero. En algún juicio penal los abogados podrian alegar esto para defender a sus acusados.
Ante ese coste es posible que las aseguradoras cobren mas a los vehiculos mas vulnerables en su cuota del seguro.
http://www.wired.com/2014/08/car-hacking-chart/
Este es el estudio que hicieron hace 1 año de los coches mas vulnerables. ¿Las aseguradoras empezaron a cobrarles mayor cuota?
Dicen que el parche se puede aplicar con un usb tambien.
¿ya que parece que pueden conectarse de forma inalambrica y por internet a los sistemas del coche, no podrian aplicarle la actualización de forma remota utilizando la misma técnica del hackeo?
En el artículo original de wired
http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/
"Second, Miller and Valasek have been sharing their research with Chrysler for nearly nine months, enabling the company to quietly release a patch ahead of the Black Hat conference."
Despues de nueve meses podrian haber desarrollado esta forma de aplicar el parche.
"Unfortunately, Chrysler’s patch must be manually implemented via a USB stick or by a dealership mechanic."
¿que coste tendrá el hecho de hacer que casi todos los vehiculos se pasen por el taller distribuidor?
¿ha influido en el precio de la acción de la compañia en bolsa?
#13 No creo que haya tocado la cootización, porque ese coste lo van a asumir los talleres, no la marca. La marca sufrirá frente al consumidor.
Por cierto, los que tengan un FIAT nuevo, que vigilen. Que igual les han metido la misma birria y no se lo van a contar.
En el Opel Kadett no pasaría jamás.
#19 a mi Ford Transit del 89 desde luego que no
La seguridad informática es un chiste de mal gusto.
#2 La seguridad informática y la prepotencia corporativa siempre se han llevado muy mal.
#2 la seguridad informática es algo que hay que tomarse muy en serio.
Se hackean hasta empresas de seguridad y las marcas de coches se creen que sus sistemas están a salvo. Dentro de unos años esto va a ser el pan nuestro de cada día.
#10 Esa es la cuestión que no existe nada seguro pero las empresas tienen que vender sus productos y no van a renunciar jamás a asociarles la idea de perfección. Pasa con la industria nuclear, los transgénicos la seguridad informática, la política...
Por si acaso... Vendo Opel Corsa.
#25 de que año?
El error fue meterle Java.
Yo tengo una Chrysler vogager y ahora es Lancia... Lancia es FIAT? puto cacao... vendí un Chevrolet que en Europa deja de fabricarse para ser solo Opel... cada vez que compro algo desaparece la marca
#32 avisanos de lo proximo que tengas pensado comprar o de lo ultimo que hayas comprado
#34 Betamax, laser disc, etc.. es mas viene de familia pq mi madre voto a ucd y los quito del mapa...
#37 ya se quien eres, tu eres pepe gafez
#37 ¿Y ahora no vota a Mariano?
¿Retirar? Lo que han hecho ha sido llamar a los dueños para que se pasen por el taller más cercano y que les actualicen el software, no sé si "retirar" es la traducción más fiel.
#16 No dejes que una buena traducción oblitere tu titular.
Que se vaya acostumbrando la gente. El software es vulnerable y como vulnerable que es, van a pasar muchas cosas en los coches en los próximos años.
Las empresas tienen que cambiar sus prioridad en sus sistemas embebidos. La prioridad debe ser la seguridad, en coches, lavadoras, móviles... etc.
Como esto se extienda mucho acabaremos sacándonos un pico vendiendo nuestros viejos Opel Corsa.