Honda Civic 2021: jailbreak vía USB con claves AOSP de prueba

A medida que más sistemas de infotainment "smart" en los autos van quedando fuera de soporte, se vuelve cada vez más relevante figurar qué se puede hacer con ese bloque de computador-y-display que está montado en el tablero.

El trabajo de ingeniería inversa de Eric McDonald sobre el sistema de infotainment Android era 2012 que monta el Honda Civic 2021 es un caso de estudio interesante. El hallazgo reciente: la head unit de estos sistemas acepta actualizaciones vía USB firmadas con las claves estándar del Android Open Source Project (AOSP) test keys, porque quedaron olvidadas en el sistema de archivos.

Es una actualización elegante a su primera ronda de ingeniería inversa de 2023, cuando un facepalm como éste todavía parecía inimaginable. Pero la "s" en infotainment siempre estuvo por security. En el exploit que McDonald llama EvilValet, cualquier persona con acceso físico al puerto USB del interior del auto puede, en teoría, correr código arbitrario firmado con esas claves de prueba, como está documentado en el proyecto en GitHub.

¿Qué son las claves AOSP test y por qué no deberían haber quedado en producción?

Las test keys del Android Open Source Project son pares de claves pública/privada que vienen incluidas en el código fuente público de AOSP. Existen para que los desarrolladores que compilan AOSP desde cero puedan firmar sus builds de desarrollo sin tener que generar y manejar claves propias. La regla universal en cualquier despliegue de producción es reemplazarlas por claves privadas únicas del fabricante.

YouTube

Las claves de prueba están disponibles en cualquier checkout público del repo android.googlesource.com. Eso significa que cualquier persona en el planeta puede firmar un binario con ellas. En un dispositivo de producción adecuadamente configurado, los binarios firmados con test keys simplemente no se instalan: el bootloader rechaza la firma. Pero en el Civic 2021, el bootloader del infotainment acepta esas firmas como válidas. Cualquiera con un pendrive y conocimiento de AOSP puede armar un payload firmado en una tarde.

¿Hasta dónde llega el exploit EvilValet?

Hasta ahora la falla solo está confirmada en el Civic 2021 de Eric, pero considerando cómo estos sistemas (que muchas veces son de terceros) tienden a reusarse y reciclarse entre generaciones y variantes de vehículos, es bastante posible que más infotainments Android tengan la misma vulnerabilidad.

El exploit es obviamente un arma de doble filo. Por un lado es excelente que el dueño de uno de estos autos pueda finalmente hacer lo que quiera con su infotainment: instalar Spotify nativo, Android Auto modificado, una capa de mapas open source, o simplemente eliminar la publicidad nativa de Honda. Por el otro, significa que cualquiera que se siente brevemente en tu auto con un pendrive puede hacer lo mismo: instalar malware, keyloggers de patentes, o un beacon que reporte tu ubicación.

¿Qué vehículos podrían verse afectados?

La lista de modelos potencialmente vulnerables incluye los que usaron la misma plataforma de infotainment Android era 2012 (basado en Android 4.x o 5.x) durante el rango 2013-2022. Algunos candidatos a auditar:

• Honda Civic (2017-2021)
• Honda CR-V (2017-2022)
• Honda Pilot (2016-2022)
• Honda Accord (2018-2022)
• Honda Fit (2018-2020)
• Variantes regionales del Honda HR-V, City y Jazz

El proveedor original del infotainment de Honda durante esa generación fue Mitsubishi Electric, que también vendió plataformas similares a otros OEMs. La vulnerabilidad podría extenderse más allá de la marca.

¿Qué implica esto para el mercado chileno?

Honda Chile vendió todos los modelos mencionados durante la ventana 2017-2022, con el Civic siendo uno de los sedanes japoneses más populares en el segmento. Un dueño de Civic 2017-2021 nacional puede técnicamente:

• Instalar Android Auto wireless donde antes no estaba.
• Cambiar el firmware para mostrar mapas de OpenStreetMap con datos chilenos.
• Habilitar puentes de Bluetooth para audio multi-fuente.
• Instalar un dashcam DVR usando la cámara de retroceso existente.

Pero hay que mantener el USB físicamente bloqueado o usar una cubierta con candado cuando no se esté usando, especialmente con valet parking (de ahí el nombre EvilValet: el escenario típico es dejar el auto al valet del mall o un restaurant).

¿Hay parche disponible?

Honda no ha emitido un boletín de servicio ni una actualización de seguridad para esta vulnerabilidad al cierre de esta nota. Los autos afectados están fuera del periodo de garantía del software original. Es altamente improbable que llegue un parche oficial, considerando que la marca discontinuó el soporte de esta generación de infotainment hace dos años.

Para los dueños responsables, el consejo práctico es simple: tapar físicamente los puertos USB del interior con una tapa de plástico industrial cuando el auto se va a estacionar con llave a un tercero. La documentación completa del proyecto de Eric, incluyendo cómo armar el payload de actualización, está disponible en GitHub.