¿Por qué Android Auto me asusta

Los fabricantes que han firmado para apoyar Android Auto lee como un quién es quién de la industria automotriz, e incluye Abarth, Acura, Alfa Romeo, Audi, Bentley, Chevrolet, Chrysler, Dodge, Fiat, Ford, Honda, Hyundai, Infiniti, Jeep , Kenwood, Kia, Maserati, Mazda, Mitsubishi, Nissan, Opel, Pioneer, RAM, Renault, Seat, Skoda, Subaru, Suzuki, Volkswagen y Volvo.

Sin lugar a dudas, Android Auto es una idea fantástica. En lugar de los conductores tomar sus ojos del camino, en busca de su teléfono cuando suena y tratando de responder a una llamada, todo mientras se conduce con una mano, el uso de Android Auto, el conductor simplemente mira por encima del tablero de instrumentos, ve quién está llamando, y puede contestar o rechazar la llamada con un simple comando de voz, según corresponda. Los conductores también pueden tener los mensajes entrantes leer a ellos, así como dictar y enviar mensajes. Otra gran característica de Android Auto es el acceso a sus archivos de medios, así como los servicios de streaming. Hay mucho para sentirse satisfechos con respecto a Android Auto, y yo era uno de ellos es grande partidarios. Sin embargo, algunos acontecimientos recientes me han dejado en duda la disposición de Google y los fabricantes de automóviles. Recientemente, mi inquietud se ha convertido en miedo absoluto ante la perspectiva de Android Auto y el aumento del uso del software en los coches modernos.

HackingTeam y RCS Android

Pero lo que es peor es que el propio equipo de Hacking fue hackeado.

Hackear Team es una empresa con sede en Italia que vende la intrusión y la vigilancia de software para los gobiernos de todo el mundo. Su suite de software incluye herramientas para comprometer los dispositivos Windows, Mac, iOS y Android. Para Android, podrían hacerse con el control de un dispositivo a través de la instalación de una aplicación aparentemente inocuo, que inicialmente contiene ningún código malicioso. Sin embargo, una vez instalada, la aplicación utiliza la carga dinámica para descargar y ejecutar su carga spyware. Este software espía, llamado RCS Android (control remoto Android System) ha sido descrito como el malware para Android más sofisticado hasta ahora expuesto. RCS Android puede escuchar y grabar conversaciones utilizando el micrófono del dispositivo, capturas de pantalla y fotos, llamadas de voz de registro, seguimiento de la ubicación del dispositivo, capturar las contraseñas Wi-Fi y de cuenta en línea, recoge los mensajes SMS, MMS, Gmail y mensajería instantánea, así como contactos del dispositivo . Además, puede cargar todos estos datos a un servidor de comandos, actualizar en sí, ganar acceso root y desinstalar sí.

Es bastante aterrador que hay de malware por ahí que puede hacer todo esto, pero lo que es peor es que el propio equipo de Hacking fue hackeado, y más de 400 GB de datos de la empresa fue publicada en línea. Este tesoro de datos contiene el código fuente de sus aplicaciones, software espía, botnets, así como mensajes de correo electrónico de la empresa y otros datos. Gracias a la piratería de equipo, todo esto es el código de la naturaleza, y será estudiado, modificado y utilizado.

Stagefright (y otros)

Stagefright, es una vulnerabilidad de Android realmente aterrador. Fue descubierto por Joshua Drake, investigador del zLabs de Zimperium. Drake descubrió que un MMS especialmente diseñados se pueden enviar a un dispositivo Android vulnerables, y, antes de que incluso se muestra una notificación, el dispositivo puede verse comprometida. La vulnerabilidad Stagefright utiliza el hecho de que, por defecto, las aplicaciones de mensajería descarga automáticamente las imágenes MMS.

Se estima que aproximadamente el 95% (950 millones) de los dispositivos Android, donde vulnerables en el momento de que es la divulgación a la prensa. El 5% de los dispositivos no vulnerables son dispositivos muy antiguos, que ejecutan versiones de Android de menos de Android 2.2. Stagefright es cada hackers sueño húmedo, en el que un dispositivo está completamente comprometida de forma remota, sin interacción del usuario, permite una entrega de carga arbitraria, y todos los rastros de la corte puede ser completamente borrado.

Aunque Drake ha estado en contacto con Google con respecto a las vulnerabilidades y parches enviado a Google ya en 09 de abril, los dispositivos Nexus de Google (los niños del cartel para las actualizaciones y mejoras rápidas) simplemente se están parcheados cinco meses después.

Aunque el hack Chrysler es la más reciente, ha habido un flujo constante de coches relacionadas con fallos de software en los últimos años.

Para agravar el problema, hay CVE-desde 2.015 hasta 3.825 mil, descubierta por X-Force Application Security Equipo de Investigación de IBM. Afecta a los dispositivos Android desde 4.3 y superiores, incluyendo la versión hasta ahora inédito Android M. Una aplicación sin permisos (sí has ​​leído bien), puede escalar es privilegios y convertirse en una aplicación súper, esencialmente poseer el dispositivo (casi como de aplicaciones de hacking equipo, pero aún más siniestra). Esto abarca aproximadamente el 55% de los dispositivos Android disponible en la actualidad. Afortunadamente, esta vulnerabilidad es todavía un secreto, pero sólo podemos esperar y rezar para que los chicos malos no han encontrado y / o no están actualmente explotarlo.

Con Stagefright y RCS Android, un atacante podría infectar a casi todos los teléfonos Android en el planeta, sin que nadie se diera cuenta. En la película Ex-Machina, Nathan (que posee un motor de búsqueda de tipo Google) dice que cortó todos los teléfonos móviles en el planeta para conseguir la cámara y el audio. ¿Cuál debería ser sólo ficción, ahora no suena tan descabellada más.

Chrysler y Ford Hack Recall

Wired Andy Greenberg también tuvo un encuentro con un par de hackers, Charlie Miller y Chris Vasalek, que demostraron su capacidad para comprometer un Jeep Cherokee completamente de forma remota. En caso de que usted está demasiado ocupado para ir a leer el artículo completo, los hackers envían comandos a través de sistema de entretenimiento del coche, y ordenaron el coche para encender es AC en el máximo, cambiar la estación de radio, cambiaron la pantalla del salpicadero a una imagen de sí mismos, encender los limpiaparabrisas, cortar la transmisión del coche y desconectado el freno. Tenga en cuenta que se trataba de un coche que no habían modificado de ninguna manera, y todo lo anterior se realizó en internet, utilizando una vulnerabilidad en el sistema de entretenimiento. Permítanme enfatizar que, en internet, donde los piratas informáticos capaces de reducir la transmisión del vehículo y desenganche los frenos del coche.

Mientras que los investigadores han estado compartiendo su trabajo con Chrysler durante los últimos nueve meses, no inspira mucha confianza en mí en cuanto al futuro de los coches conectados vayan.

Aunque el hack Chrysler es la más reciente, ha habido un flujo constante de coches relacionadas con fallos de software en los últimos años. En junio, por ejemplo, Ford tuvo que retirar más de 430.000 vehículos (incluyendo el 2015 Focus, C-Max y Escape modelos) para actualizar el software, ya que la eliminación de la llave de contacto puede no ser suficiente para apagar el motor del coche!

Ninguno de estos hacks, hasta ahora, implica androide automático, sin embargo, vale la pena mencionar para demostrar que los fabricantes de automóviles tienen problemas con el software en los vehículos. Aunque no puedo dejar de reconocer que el software en vehículos tiene increíbles beneficios (ABS, la mejora de la eficiencia de combustible, etc.).

¿Por qué tan serio?

Con la cantidad de información que nuestros smartphones mantienen relacionado con nuestras vidas y las finanzas, un smartphone hackeado es una fuente importante de preocupación y dolor de cabeza. Sin embargo, tener un smartphone completamente comprometida no es necesariamente en peligro la vida, ya sea para mí o para las personas que me rodean.

Cuando un coche decide romper estos arbitrariamente determinado conjunto de reglas, que supone un gran peligro no sólo a sus ocupantes, pero a otros vehículos, así como los peatones.

Es cierto que muchas de mis actividades usando mi teléfono inteligente, o muy cerca de mis teléfonos, podría ser embarazoso si se hace público. Más importante aún, un número muy elevado de propietarios de teléfonos inteligentes realizar transacciones financieras a través de sus teléfonos, y un teléfono hackeado puede resultar en pérdidas financieras masivas. Con un automóvil hackeado, el potencial de daños, lesiones y pérdida de vidas es mucho mayor.

Por el momento, Android Auto es un sistema estricto de información / entretenimiento, y no puede ser utilizado para controlar, gestionar y / o controlar las operaciones de automóviles. Sin embargo, los Android Auto API indican que la consulta de diagnóstico de automóviles es parte de los planes futuros. Tanto los fabricantes de automóviles y Google tienen que tomar medidas adicionales para garantizar Android Auto es adecuadamente aislados y de espacio aislado. Por desgracia, con su trayectoria hasta el momento, no estoy conteniendo la respiración.

Conclusión

Lo peor de esto no es el software en los automóviles o sí Android. Individualmente, son una preocupación, pero la idea de los dos juntos es bastante preocupante. Y lo mismo puede decirse de ambos Carplay de Apple y Automotor de Windows de Microsoft.

Microsoft, sin duda el mayor y más importante empresa de software en el mundo hoy en día, todavía tiene problemas que lo rodea es el software más lucrativo (Windows si no han adivinado), y esto es con su capacidad para empujar a cabo las actualizaciones regularmente. ¿Con qué frecuencia pueden las empresas de automóviles empujar a cabo las actualizaciones? ¿Cómo son los cambios van a ser instalados? ¿Pueden los usuarios decidir rechazar una actualización? ¿Quién se hace responsable cuando un usuario rechaza una actualización, por cualquier razón, y el coche se ve comprometida en medio de un viaje? ¿Quién es responsable si el coche se ve comprometida usando Android Auto?

No olvide que incluso si usted se abstenga de comprar uno de estos monstruos, cualquier otro coche en la carretera puede ser uno de ellos, y pasar a ser la máquina de mala suerte infiltrado por el adolescente aburrido en el sótano de su madre en el este de África (sustituir con prácticamente cualquier otro lugar en el mundo). La seguridad de nuestras carreteras se basa en la creencia de que cada conductor sigue un conjunto de reglas. Cuando un coche decide romper estos arbitrariamente determinado conjunto de reglas, que supone un gran peligro no sólo a sus ocupantes, pero a otros vehículos, así como los peatones.