Componentes de segunda mano de los Tesla incluyen datos de sus usuarios
Datos de conductores de Tesla, al alcance de cualquiera por un fallo obvio
Un fallo en la manera en la que el fabricante gestiona los recambios permite a atacantes obtener datos de conductores de Tesla a partir de piezas viejas.
4 mayo, 2020 17:51Noticias relacionadas
La política de Tesla en lo que respecta a los cambios de piezas en sus coches supone que algunos datos de conductores de Tesla pueden acabar en manos de atacantes.
El hacker conocido como @greentheonly en Twitter ha revelado que es posible obtener piezas de modelos viejos de Tesla, que almacenan algunos datos de los conductores en texto plano y por lo tanto se pueden obtener fácilmente.
Estas piezas provienen de coches viejos, que han sido actualizados gracias al programa de Tesla que permite mejorar el hardware del coche para que sea compatible con las últimas funcionalidades; no está claro cómo es posible que estas piezas acaben en el mercado de segunda mano sin ningún tipo de control.
Piezas de Tesla aparecen en el mercado de segunda mano
Cuando Tesla anunció la nueva versión de Autopilot, se encontró con un problema: los modelos viejos no tenían un ordenador de a bordo tan potente como para ejecutar los algoritmos necesarios para detectar coches, señales de tráfico y otros elementos usando sólo las cámaras.
Los Tesla más nuevos tienen un hardware superior para el Autopilot
Para solucionarlo, Tesla ofrece una simple actualización, consistente en intercambiar el sistema viejo por el mismo que traen los Tesla ahora de fábrica, y que se considera que tiene años de ventaja frente a sus competidores. Además, también se cambia el sistema de infoentretenimiento, para que sea compatible con las nuevas apps y servicios de Tesla.
Nadie hasta ahora sabía qué pasaba con las piezas viejas, y ahora parece que al menos algunas acaban en el mercado de segunda mano, en tiendas como eBay.
Eso no es tan malo como suena, ya que eso permitiría a los talleres y usuarios reemplazar sus piezas si algún día fallan. El verdadero problema es que el almacenamiento de estos ordenadores no ha sido borrado; por lo tanto, incluyen todos los datos de los usuarios.
Datos de conductores de Tesla sin cifrar
Más preocupante aún es que buena parte de esta información está sin cifrar, almacenada en texto plano que puede ser leído fácilmente por alguien con conocimientos básicos. Dependiendo de las apps y servicios que usemos, entre la información almacenada pueden estar nuestros contactos, nuestros eventos de calendarios y nuestro historial de llamadas.
Eso no solo significa que un atacante podría acceder a nuestros datos, sino también a los servicios que hayamos usado en el coche.
In particular if you log into spotify - the password is stored in plain text. gmail and netflix are stored as a cookie but still give a potential attacker access.
— green (@greentheonly) May 3, 2020
The of course all recent calendar events and your phone book and calls history too.
Por ejemplo, la contraseña de Spotify se almacena sin cifrar, así que nos la podrían robar; también se guardan las cookies de Gmail y Netflix, por lo que sería posible usarlas para ganar acceso a nuestras cuentas.
Aún no se sabe el verdadero alcance que puede tener una filtración como esta; al poder acceder a todo el sistema, ha sido posible obtener datos como la activación del sistema de seguridad o incluso descubrir cosas extrañas, como que los Model 3 hacen una captura de pantalla cada vez que lo arrancamos, por alguna razón desconocida.
Una práctica imprescindible en la industria tecnológica es el borrado de datos en piezas de segunda mano, pero parece que Tesla no ha implementado medidas semejantes. No solo eso, sino que el hecho de que las piezas aparezcan así como así en el mercado de segunda mano despierta muchas dudas, como si es algo oficial, o si por contra es un empleado intentando sacarse un sueldo extra.
