Durante los últimos años hemos podido observar como el teléfono móvil ha ido aumentando progresivamente su cuota de presencia en nuestras vidas, formando parte de nuestro día a día hasta llegar a actuar como una extremidad de nuestro cuerpo más. Una extremidad que hemos entendido en el siglo XXI como imprescindible, pues nos permite comunicarnos, escuchar música o leer la prensa del día en cualquier lugar y a cualquier hora.

Esto se debe no sólo a las funcionalidades implementadas desde las empresas desarrolladoras de los SO como Google o Apple, sino también a la creatividad proveniente de desarrolladores particulares, los cuales tienen acceso a las plataformas de distribución de apps.

tesla app

Tanto la necesidad del ser humano para con los dispositivos móviles, como la capacidad de alcance de una app de éxito, son dos factores que hacen que cualquier compañía mínimamente relacionadas con la tecnología, esté interesada en crear las suyas propias, las cuales les permitirán ampliar el mercado, mejorar el producto y la experiencia del usuario, o simplemente añadir alguna característica llamativa que ocupe páginas en prensa y minutos en los telediarios, pero, ¿están dichas compañías capacitadas para ofrecernos garantías en la seguridad de sus productos?

A continuación os presentaré el controvertido caso de los automóviles Tesla.

El nuevo modelo S de Tesla incorpora una aplicación para dispositivos Android llamada Tesla Motors Beta app, la cual “pone en contacto directo al dueño del Tesla con sus coches en cualquier momento y en cualquier lugar”, o así se describe en Google Play.

Entre las funcionalidades que incorpora la aplicación están comprobar el estado de carga del automóvil, modificar la temperatura del mismo antes de su utilización o abrir y cerrar el coche a distancia, entre otras.

Sin embargo, cuando un usuario se instala la aplicación Android de Tesla, se debe introducir un usuario y contraseña, a través de las cuales la aplicación genera un token. Esta aplicación usará dicho token cada vez que abra la aplicación para evitar la molestia de introducir las credenciales una y otra vez en cada utilización. Sin embargo, rara vez la comodidad no está reñida con la seguridad.

tesla app

Un grupo de investigadores de origen noruego han descubierto que la aplicación de Tesla almacena el token en texto plano en la carpeta sandbox de la aplicación y exponen que, un atacante con la intención de hacerse con el coche, podría crear una aplicación maliciosa que contenga exploits como Kingroot, que permitiría escalar a privilegios de root y acceder a la carpeta donde se ubica el token.

A pesar de que el token permitiría al atacante numerosas acciones sobre el coche, no podría arrancarlo. Para ello se necesita la contraseña del usuario. En este punto, los investigadores exponen  la opción de borrar el token y forzar al usuario a introducir de nuevo las credenciales, esta vez en una versión de la aplicación de Tesla cuyo código hubiera sido modificado previamente para enviar la contraseña al atacante.

Una vez tiene los datos, el atacante puede arrancar el coche sin llave, abrir las puertas o geolocalizar el coche, todo esto mediante peticiones HTTP a los servidores de Tesla, pues ya dispone de las credenciales.

Los ingenieros de Promon, firma de seguridad informática descubridora de la vulnerabilidad, han recomendado públicamente medidas como implementar autenticación de dos factores y evitar el almacenamiento del token en texto claro, además del acceso al código fuente.

Así pues, se puede comprobar como la mayoría de veces, la ciberseguridad no va a la velocidad a la que sí va el mercado tecnológico, aunque en este caso no sólo se pone en peligro la seguridad del sistema informático o de la información personal (riesgos que normalmente están dispuestos a tomar los usuarios), sino también nuestra integridad física.


Una Respuesta

  1. Susana Pons

    Es fundamental tener en cuenta la seguridad cuando desarrollamos una app. Yo estoy creando la mía utilizando la plataforma de kingofapp.com y este es uno de los elementos que más trato de prevenir.

    Responder

Hacer Comentario

Su dirección de correo electrónico no será publicada.