16 abr 2020

Bypass de YouTube y Netflix para navegar por Internet en el Tesla Model 3


Buenas a todos, dentro de la metodología Open Mobility Security Project que lanzamos hace poco más de un mes, y de la que hablamos recientemente en C0r0n4CON, disponemos de un gran listado de controles técnicos con los que poder evaluar la seguridad de los distintos componentes que integran, entre otros, coches y trenes. En el post de hoy, queríamos enseñaros un par de ejemplos de pruebas que realizar sobre uno de los controles de la categoría "OMSP-INFO: Infotainment", en concreto, el control referido a la seguridad de las APPs integradas dentro del sistema de infoentretenimiento: "OMSP-INFO-01: Applications".

A continuación, os compartimos 2 vídeos que hemos grabado en un Tesla Model 3, sobre cómo mediante navegación a través de links incluídos en las propias APPs, es sencillo abrir un navegador web. En el caso concreto de Tesla, las APPs y el Web Browser comparten el core basado en Chromium, por lo que no habría aparentemente un problema de seguridad. Pero en vehículos que no permitan la navegación a través de un navegador web, podría ser utilizado como una vía para ejecutar algún tipo de código malicioso a través de una página web que no debería ser accesible desde la pantalla del vehículo:

Ejemplo: Navegando a través de la aplicación YouTube:



Ejemplo: Navegando a través de la aplicación Netflix:



En el post de mañana veremos un ejemplo sobre otro control de infoentretenimiento, en concreto, sobre OMSP-INFO-01: Web browser, y a través del cual descubrimos un problema recientemente también en un Tesla Model 3.

Saludos!


No hay comentarios:

Publicar un comentario