Los nuevos sistemas de infoentretenimiento y conectividad que no paran de avanzar para establecer de manera más amplia cada vez más una relación entre nuestro coche, smartphone e internet, está dando como resultado que cada vez más coches estén permanentemente conectados a internet y que nos permitan controlarlos y ejecutar acciones de manera remota. Pero eso ha sido un caramelo para aquellos hackers interesados en explotar vulnerabilidades, tal y como sucedió ya con el Model S, para el cual, Tesla optó por irse a congresos de hackers y contratar a aquellos más reputados para que parchearan debidamente todos sus sistemas y evitar de esta forma la intrusión a los sistemas de conectividad de sus vehículos.
Pero esto ya nos hizo plantear una pregunta en el aire que no tardaría en sintetizar su respuesta: ¿veremos más fabricantes a los que les explotan próximamente sus vulnerabilidades aún pese a sus esfuerzos para ir un paso por delante de los hackets? y efectivamente, así sucedió y uno de los afectados resultó ser BMW. De nuevo, BMW vuelve a estar afectada pro otra vulnerabilidad en su servicio web ConnectedDrive, que permitiría acceder remotamente a coches dotados con dicho sistema.
Benjamin Kunz Mejri, de Vulnerability Laboratory ha encontrado dos vulnerabilidades de diferentes escalas de gravedad que afectan a dicho sistema. La primera, permite obtener el control del bastidor del vehículo (número VIN) en la base de datos del sistema, y con él, poder obtener desde acceso a las cuentas de correo configuradas, datos del sistema de infoentretenimiento e incluso abrir y cerrar el vehículo.
La segunda vulnerabilidad es algo menos grave, y permite que un atacante inyecte código malicioso en el lado del cliente con el que a través de dicho código pueda obtener acceso a otros datos.
Por el momento, BMW no se ha pronunciado al respecto, aunque es de esperar que estén trabajando en un parche que solucione ambas vulnerabilidades.