¿Es el llavero de su automóvil vulnerable a este simple ataque de repetición?

La mayoría de las personas probablemente dan por sentado que su llavero remoto es seguro. Después de todo, bloquear y desbloquear automóviles es enormemente importante. Pero en la conferencia de seguridad Black Hat, los investigadores demostraron cómo un simple ataque de repetición puede hacer retroceder las medidas de seguridad integradas en los llaveros de los automóviles.

El sistema para abrir y cerrar coches de forma remota se llama Remote Keyless Entry (RKE), y es más complejo de lo que parece. Cada pulsación de botón es única, lo que evita que un atacante simplemente lo grabe presionando el botón de desbloqueo y lo reproduzca más tarde.

Levente Csikor, investigador de I2R, A*STAR, explicó que los sistemas RKE utilizan un código variable. El llavero y el automóvil tienen un contador que aumenta cada vez que se presiona un botón. De esa forma, no se aceptará una pulsación de botón previamente registrada.

Pero no todas las pulsaciones de su llavero llegan a su automóvil. Tal vez esté fuera de alcance, detrás de un vidrio grueso o simplemente jugando con las llaves. Estas pulsaciones de botón mueven el contador del llavero hacia adelante pero no el automóvil. Para evitar que las pulsaciones accidentales de botones bloqueen a los propietarios de automóviles, los sistemas RKE se restablecen al número de contador más bajo si detectan que el control remoto tiene más pulsaciones de botones que el automóvil.

El sistema de reinicio asume que siempre que el número del contador en el control remoto sea más alto que el del automóvil, no puede ser un ataque de repetición. Pero esto significa que los códigos capturados antes de que ocurriera el reinicio, que nunca llegaron al automóvil, serían aceptados.

Csikor dijo que este es el quid del ataque RollJam que debutó(Se abre en una ventana nueva) hace siete años por parte de diferentes investigadores. Usando materiales de bajo costo, un dispositivo RollJam capturó la señal de un botón de control remoto, luego bloqueó las ondas de radio y capturó una segunda pulsación de botón. La segunda señal nunca llegó al automóvil y un atacante podría reutilizarla más tarde para desbloquear el vehículo.

Bueno, resulta que todo el proceso de interferencia y reproducción puede no ser necesario. Csikor explicó que para algunos vehículos, un atacante solo necesitaría repetir algunas pulsaciones de botones previamente capturadas(Se abre en una nueva ventana) para "retroceder" el contador del automóvil. Incluso si el automóvil ya los hubiera detectado, el vehículo aceptaría cualquier pulsación de botón capturada previamente.

No solo eso, sino que este ataque podría replicarse en el futuro. El atacante solo tenía que repetir las pulsaciones de los botones, en cualquier momento en el futuro, incluso después de que el propietario del automóvil hubiera usado el control remoto repetidamente, y el automóvil aceptaría las señales y se desbloquearía. Un nuevo video publicado después de Black Hat mostró que las señales repetidas se usaban con éxito más de 100 días después de la captura.

Csikor mostró varios videos del ataque en acción. En lugar de un dispositivo RollJam personalizado, utilizó un Lenovo ThinkPad estándar conectado a una unidad de radio definida por software HackRF, que puede costar cientos de dólares. En la pantalla, capturó cinco pulsaciones de botón de un llavero de Kia. Se puede ver el coche respondiendo a todos ellos. Luego reprodujo los dos primeros, que fueron ignorados, pero el vehículo aceptó los tres siguientes.

Se pone mejor (o peor). Csikor dijo que en el tiempo transcurrido desde que enviaron su trabajo a Black Hat, el equipo descubrió que cualquier pulsación secuencial de botones haría retroceder el contador del automóvil. Una combinación de señales secuenciales de bloqueo y desbloqueo es suficiente para que funcione RollBack.

El equipo publicará una lista completa de los vehículos que probaron, pero todavía no. De los 20 vehículos enumerados en la presentación de Csikor, solo seis no son susceptibles al ataque RollBack.

De los tres Hyundais que examinó el equipo, solo uno cayó ante el ataque RollBack. Dos de los tres Nissan evaluados fueron susceptibles, pero ninguno de los cuatro Toyota evaluados se vio afectado.

Dentro de cada marca de automóvil, la cantidad de pulsaciones de botones que debían capturarse era constante, incluso entre modelos y años de modelos. Los modelos vulnerables Nissan, Kia y Hyundai requerían solo dos pulsaciones de botón, mientras que todos los Honda vulnerables requerían cinco.

Csikor enfatizó que este no es un problema que se limite a los vehículos más antiguos. Los autos tan nuevos como el modelo del año 2020 y tan viejos como el 2009 son susceptibles.

Hoon Wei Lim, director de Investigación y Desarrollo de Seguridad Cibernética en NCS Group, dijo que el equipo informó su investigación a los fabricantes de llaveros remotos afectados en abril de 2022, y al Centro de Análisis e Intercambio de Información Automotriz (Auto-ISAC) en mayo. Todos los fabricantes de automóviles afectados también han sido contactados y están investigando el problema.

A pesar de todo su trabajo, los investigadores admiten que todavía hay mucho que no sabían. Por ejemplo, solo probaron los vehículos a los que tenían acceso en el sudeste asiático. Eso es una fracción de todos los autos en la carretera, por lo que no están seguros de qué tan extendida es la vulnerabilidad.

Tampoco saben por qué los vehículos se comportan así. Los sistemas del vehículo son propietarios, explicó Csikor, y el equipo no está en condiciones de desarmar un automóvil para investigar. Una posible pista provino de un fabricante de llaveros llamado Microchip, que tenía documentación pública del proceso mediante el cual los propietarios de automóviles podían emparejar un nuevo llavero con su vehículo. Parte de esto coincidió con la investigación del equipo, pero no todo. Csikor también señaló que el receptor del automóvil, y no el llavero, está haciendo la mayor parte del trabajo. Eso sugiere que puede depender de los fabricantes de automóviles solucionar el problema.

Como resultado, el equipo no está seguro de qué tipo de soluciones pueden introducir los fabricantes. Una posibilidad sería usar marcas de tiempo junto con el sistema de código variable.

Hasta que se sepa más, lo mejor que se puede hacer es lo que hizo Hoon Wei Lim al comienzo de la charla: pedirle a la gente que no piratee su auto.

Siga leyendo PCMag para conocer lo último de Black Hat.

Regístrese en Vigilancia de seguridadboletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.

Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.

Su suscripción ha sido confirmada. ¡Mantén un ojo en tu bandeja de entrada!