Connected vehicles produced by both Ford and Volkswagen have serious security flaws which could allow them to be hacked, according to a Which? investigation.
The consumer group said that connected tech features of the Ford Focus Titanium Automatic 1.0L petrol and a Volkswagen Polo SEL TSI Manual 1.0L petrol – the latest models of two of the most popular cars in Europe - were vulnerable.
Which? warned that the cars could put motorists’ personal data and even safety at risk. It said the lack of “any meaningful regulation” for on-board tech in the motor industry allows manufacturers to be “careless with security”.
It added that while its investigation focused on the Focus and Polo, it is concerned that these issues could be widespread throughout the industry.
The investigation showed that the ‘infotainment’ unit in the Volkswagen Polo, part of the car’s ‘central nervous system’, was vulnerable to cyber-attack.
The vulnerability was found in a section of the car that can enable or disable traction control – a feature that helps drivers to keep control the vehicle in treacherous conditions.
The infotainment unit could potentially also hold a wealth of personal data, such as phone contacts or location history, if the user has synced their smartphone with the unit.
The researchers were also concerned that simply lifting the VW badge on the front of the car gave access to the front radar module, which could potentially allow a hacker to tamper with the collision-warning system.
Using basic equipment, the experts were able to intercept messages sent by the tyre pressure monitoring system on the Ford Focus, making it possible that an attacker could trick the system to display that flat tyres were fully inflated and vice versa, thus posing a safety risk.
The experts at Which? said that on examining Ford’s code, they found that it included Wi-Fi details and a password that appeared to be for the computer systems on Ford’s production line.
A scan to locate where the network was based confirmed it was at the Ford assembly plant in Detroit, Michigan, US.
The investigation also raised concerns about how much data cars are generating about their owners and how this information is being stored, shared and used.
Lisa Barber, editor of Which? magazine, said: “Most cars now contain powerful computer systems, yet a glaring lack of regulation of these systems means they could be left wide open to attack by hackers, putting drivers’ safety and personal data at risk.
“The Government should be working to ensure that appropriate security is built into the design of cars and put an end to a deeply flawed system of manufacturers marking their own homework on tech security.”
Ford – who refused to see the full reports – responded to the Which? investigation by saying that it takes “cyber security seriously by consistently working to mitigate the risk”.
It added: “Customer data is used for valued connected services, such as live traffic, in accordance with published policy.
“In Europe, connected vehicle data, for example location and driver behaviour data, may only be shared with authorised dealers where we have communicated this clearly to our customers and have an appropriate legal basis in place, such as customer consent.
“Where we rely on customer consent, the customer has the right to withdraw that consent at any time.”
Volkswagen said its infotainment system is in a “separate domain of the vehicle and it is not possible to influence other critical control units unnoticed”, but it agreed to analyse the findings with its supplier.
The company added that it does not believe any of the findings pose “any direct risk for the driver or passengers”, with many of the examples requiring access to the car and “very high effort”.
A spokeswoman for the Department for Transport said: “Connected vehicles present major opportunities for road safety, traffic management and a range of innovative industries across the UK.
“Safety is paramount and that’s why we are investing more than £250m in safe testing and cyber resilience.”
Last month, computer scientists found that cars from manufacturers including Toyota, Kia, and Hyundai have security vulnerabilities in their anti-theft systems.
Los vehículos conectados producidos por Ford y Volkswagen tienen serias fallas de seguridad que podrían permitir que sean pirateados, de acuerdo con un ¿Qué? investigación.
El grupo de consumidores dijo que las características tecnológicas conectadas de la gasolina Ford Focus Titanium Automatic 1.0L y una gasolina Volkswagen Polo SEL TSI Manual 1.0L, los últimos modelos de dos de los autos más populares en Europa, eran vulnerables.
¿Cual? advirtió que los automóviles podrían poner en riesgo los datos personales de los automovilistas e incluso la seguridad. Dijo que la falta de "cualquier regulación significativa" para la tecnología a bordo en la industria del motor permite a los fabricantes ser "descuidados con la seguridad".
Agregó que si bien su investigación se centró en el Focus y el Polo, le preocupa que estos problemas puedan extenderse en toda la industria.
La investigación mostró que la unidad de "infoentretenimiento" en el Volkswagen Polo, parte del "sistema nervioso central" del automóvil, era vulnerable al ataque cibernético.
La vulnerabilidad se encontró en una sección del automóvil que puede habilitar o deshabilitar el control de tracción, una característica que ayuda a los conductores a mantener el control del vehículo en condiciones traicioneras.
La unidad de infoentretenimiento también podría contener una gran cantidad de datos personales, como contactos telefónicos o historial de ubicaciones, si el usuario ha sincronizado su teléfono inteligente con la unidad.
Los investigadores también estaban preocupados porque el simple hecho de levantar la insignia de VW en la parte delantera del automóvil daba acceso al módulo de radar frontal, lo que podría permitir que un pirata informático manipule el sistema de advertencia de colisión.
Utilizando equipos básicos, los expertos pudieron interceptar los mensajes enviados por el sistema de monitoreo de presión de las llantas en el Ford Focus, haciendo posible que un atacante pudiera engañar al sistema para mostrar que las llantas desinfladas estaban completamente infladas y viceversa, lo que representa un riesgo de seguridad .
¿Los expertos en cuál? dijeron que al examinar el código de Ford, encontraron que incluía detalles de Wi-Fi y una contraseña que parecía ser para los sistemas informáticos en la línea de producción de Ford.
Un escaneo para localizar dónde se basó la red confirmó que estaba en la planta de ensamblaje de Ford en Detroit, Michigan, EE. UU.
La investigación también planteó preocupaciones sobre la cantidad de datos que generan los automóviles sobre sus propietarios y cómo se almacena, comparte y utiliza esta información.
Lisa Barber, editora de Which? revista, dijo: "La mayoría de los automóviles ahora contienen sistemas informáticos potentes, pero una falta evidente de regulación de estos sistemas significa que podrían quedar expuestos a ataques de piratas informáticos, poniendo en riesgo la seguridad y los datos personales de los conductores.
"El Gobierno debería estar trabajando para garantizar que se incorpore la seguridad adecuada en el diseño de los automóviles y poner fin a un sistema profundamente defectuoso de fabricantes que marcan su propia tarea en materia de seguridad tecnológica".
Ford, que se negó a ver los informes completos, respondió a ¿Cuál? investigación diciendo que se toma "la seguridad cibernética en serio trabajando constantemente para mitigar el riesgo".
Agregó: “Los datos del cliente se utilizan para servicios conectados valiosos, como el tráfico en vivo, de acuerdo con la política publicada.
“En Europa, los datos del vehículo conectado, por ejemplo, los datos de ubicación y comportamiento del conductor, solo se pueden compartir con los distribuidores autorizados donde lo hemos comunicado claramente a nuestros clientes y tenemos una base legal adecuada, como el consentimiento del cliente.
"Cuando dependemos del consentimiento del cliente, el cliente tiene derecho a retirar ese consentimiento en cualquier momento".
Volkswagen dijo que su sistema de información y entretenimiento se encuentra en un "dominio separado del vehículo y que no es posible influir en otras unidades de control críticas sin ser notadas", pero acordó analizar los hallazgos con su proveedor.
La compañía agregó que no cree que ninguno de los hallazgos represente "ningún riesgo directo para el conductor o los pasajeros", y muchos de los ejemplos requieren acceso al automóvil y "un esfuerzo muy alto".
Una portavoz del Departamento de Transporte dijo: “Los vehículos conectados presentan grandes oportunidades para la seguridad vial, la gestión del tráfico y una gama de industrias innovadoras en todo el Reino Unido.
"La seguridad es primordial y es por eso que estamos invirtiendo más de £ 250 millones en pruebas seguras y resistencia cibernética".
El mes pasado, los informáticos descubrieron que los automóviles de fabricantes como Toyota, Kia y Hyundai tienen vulnerabilidades de seguridad en sus sistemas antirrobo.
0 Comentarios