• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Descubren nueva técnica que permite desbloquear a distancia cerraduras y coches inteligentes a través de Bluetooth

Descubren nueva técnica que permite desbloquear a distancia cerraduras y coches inteligentes a través de Bluetooth

25 mayo, 2022 Por albesplab Deja un comentario

Un novedoso ataque de retransmisión por Bluetooth puede permitir a los atacantes desbloquear y manejar coches a distancia, abrir cerraduras inteligentes y acceder a zonas seguras.

La vulnerabilidad está relacionada con la implementación de bluetooth Low Energy (BLE). «Un atacante puede indicar falsamente la proximidad de los dispositivos Bluetooth LE (BLE) entre sí mediante el uso de un ataque de retransmisión», dijo la empresa de ciberseguridad NCC Group, con sede en el Reino Unido. «Esto puede permitir el acceso no autorizado a dispositivos en sistemas de autenticación de proximidad basados en BLE».

Los investigadores probaron el ataque en un Tesla Model 3 2020, ejecutando la herramienta de ataque en un iPhone 13 mini. El iPhone estaba fuera del alcance de Bluetooth del vehículo, a unos 25 metros del automóvil, con dos dispositivos de transmisión entre el iPhone y el automóvil. Usando la herramienta, los investigadores pudieron desbloquear el vehículo de forma remota.

Los ataques de retransmisión, son una variación de los ataques de Man-in-the-Middle (MitM) donde los atacantes intercepta la comunicación entre dos partes, el atacante inicia la comunicación con ambas partes y luego simplemente transmite mensajes entre las dos partes sin manipularlos.

Aunque se han implementado varias mitigaciones para evitar los ataques de retransmisión, como la imposición de límites de tiempo de respuesta durante el intercambio de datos entre dos dispositivos que se comunican a través de BLE y técnicas de localización basadas en la triangulación, el nuevo ataque de retransmisión puede eludir estas medidas.

Para evitar estos ataques de retransmisión de la capa de enlace, los investigadores recomiendan exigir comprobaciones adicionales más allá de la proximidad inferida para autenticar los llaveros y otros elementos. Esto podría ir desde la modificación de las aplicaciones para forzar la interacción del usuario en un dispositivo móvil para autorizar los desbloqueos y la desactivación de la función cuando el dispositivo de un usuario ha estado inactivo durante más de un minuto basándose en las lecturas del acelerómetro.

Tras ser alertado de los hallazgos el 4 de abril de 2022, el Grupo de Interés Especial de Bluetooth (SIG) reconoció que los ataques de retransmisión son un riesgo conocido y que el organismo estándar está trabajando actualmente en nuevos mecanismos para solventar esta vulnerabilidad.

Más información
New Bluetooth attack can remotely unlock Tesla vehicles and smart locks

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Pentesting con FOCA

Publicado en: Vulnerabilidades Etiquetado como: Bluetooth Low Energy, vulnerabilidad

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • Tencent admite un ataque de código QR en su plataforma de chat QQ.com
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes

Entradas recientes

  • Tencent admite un ataque de código QR en su plataforma de chat QQ.com
  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos
  • El Bridge Horizon de Harmony Protocol, sufre un robo de 100 Millones de dólares
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Tencent admite un ataque de código QR en su plataforma de chat QQ.com
  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...