My BMW Remote App: La seguridad de la aplicación de control remoto, objeto de críticas

Desde hace algún tiempo, la aplicación MyBMW Remote permite controlar a distancia determinadas funciones del vehículo: La app, que está disponible tanto para Apple iOS como para Android, permite, entre otras cosas, activar el aire acondicionado del vehículo o funciones como el claxon y los intermitentes de los faros. Además, se pueden bloquear y desbloquear las puertas, pero no es posible arrancar el motor.

 

Como parte del lanzamiento al mercado de los BMW i3 e i8, la aplicación MyBMW Remote se dio a conocer a un público más amplio, lo que, como era de esperar, también trajo críticas a escena. El experto en seguridad Ken Munro analizó la aplicación y descubrió vulnerabilidades que podrían causar problemas.

 

Por ejemplo, Ken Munro critica que la mayoría de los usuarios eligen un nombre de usuario según el esquema nombre, apellidos, que también es comprensible para los extraños, y no se les pide explícitamente que elijan una contraseña especialmente segura. Si olvida su contraseña y solicita una nueva tras la autorización, recibirá por correo electrónico un código corto y, por tanto, comparativamente fácil de descifrar, formado por cinco letras minúsculas. Sin embargo, ni siquiera Ken Munro ha conseguido localizar realmente un vehículo, ni siquiera desbloquearlo.

 

En respuesta a una petición nuestra, BMW ha comentado en detalle la seguridad de la app My BMW Remote y también aborda las vulnerabilidades que Ken Munro trata en su artículo:

 

    Para BMW, la seguridad de nuestros clientes es nuestra máxima prioridad. Por eso realizamos pruebas periódicas y hacemos un seguimiento de cualquier información que recibimos, para poder seguir desarrollando y mejorando nuestros sistemas.

 

    En el artículo originalmente abordado, el autor parte de un escenario que aún no se ha producido, sino que es sólo teórico por el momento:

 

    Podrías iniciar un ataque distribuido contra los usuarios de Connected Drive e iRemote, utilizando el fallo de enumeración y las redes sociales para descubrir usuarios válidos. [Podría causar el suficiente alboroto con bloqueos repetidos como para que BMW considere tomar medidas urgentes, eliminando potencialmente la función de bloqueo como medida temporal para evitar que los conductores molestos bombardeen sus centros de llamadas.

 

    Por el contrario, el artículo subraya que todos los mecanismos esenciales para la seguridad de las cuentas de los clientes están establecidos y cuidadosamente diseñados. El autor ve como una amenaza la posibilidad de que desconectemos los mecanismos de seguridad en una situación de crisis, lo que entonces posibilitaría los ataques reales. Sin embargo, hasta ahora no lo hemos hecho, ni es nuestra intención.

 

    Además, se observa que BMW permite el uso de contraseñas demasiado débiles o las emite ella misma, además de facilitar demasiado la identificación de cuentas válidas y, por tanto, objetivos de ataque dignos de mención con nombres de usuario fáciles de adivinar. Estas vulnerabilidades ya se han abordado como parte del reajuste de ConnectedDrive. Las medidas ya se han aplicado y ahora se están desplegando sucesivamente en todo el mundo.

 

    Concretamente, esto significa:

 

        La política de contraseñas más seguras exige la introducción de contraseñas más largas (8 caracteres)

        y combinaciones alfanuméricas

        El mecanismo de restablecimiento de contraseña envía un enlace de restablecimiento de la contraseña almacenada.

        dirección de correo electrónico; no hay envío por SMS de contraseñas de restablecimiento temporal.

        más de

        El cliente puede elegir libremente su nombre de usuario, no hay nombre.apellido

        Combinación forzada.

 

    Como ya se ha mencionado, la seguridad del cliente es la máxima prioridad de BMW y, en cuanto surgen problemas de este tipo, hacemos todo lo posible para llegar a una solución rápida. En este caso, las medidas de mejora mencionadas ya se han definido y aplicado de forma proactiva como parte de los bucles de optimización en curso. Las soluciones que hemos desarrollado se están aplicando e implantando en todo el mundo. ¿Buscas un coche de ocasión en Toledo? En el concesionario Crestanevada de coches segunda mano Toledo, encontrarás el coche de ocasión de tus sueños al mejor precio.