El arquitecto de software Eric McDonald descubrió que el sistema de infotainment de su propio Honda Civic 2021 tiene una vulnerabilidad evidente en el puerto USB delantero. Según el post publicado en su blog, Honda permite actualizar el head unit de este vehículo vía USB. El problema: la verificación de seguridad no es robusta. El hardware solo busca un archivo firmado de AOSP (Android Open Source Project) usando una llave de prueba conocida públicamente.
Cualquiera que sepa preparar un pendrive y firmarlo con esa test key del AOSP puede instalar lo que quiera en el head unit a través del flujo de actualización. Lo que para un tinkerer puede ser una invitación a sacarle más jugo a su auto, en manos de un tercero se transforma en una vía de ataque.
¿Qué es un ataque EvilValet?
McDonald acuñó el nombre EvilValet en analogía con el clásico evil maid attack del mundo PC. Ese tipo de compromiso aprovecha el acceso físico temporal de una persona, como una mucama de hotel, para instalar malware en un equipo.
En el ejemplo descrito por McDonald, un periodista deja su auto con un valet y este valet enchufa un pendrive en el USB delantero, instala una app maliciosa en el infotainment y devuelve el vehículo. El dueño jamás se entera.
¿Qué puede hacer un atacante una vez adentro?
Instalada la app o el malware, el atacante tiene acceso a la abundante telemetría que sostiene un vehículo moderno:
- Audio del habitáculo vía los micrófonos del head unit.
- Ubicación en tiempo real vía GPS.
- Captura de video según los modelos con cámara.
La exfiltración después se puede hacer aprovechando la conectividad inalámbrica del propio infotainment: Bluetooth, Wi-Fi o el módulo celular embebido si el modelo lo trae.
¿Está en riesgo la seguridad física del auto?
No directamente. El malware queda encapsulado en el infotainment, así que el atacante no puede tomar control remoto del motor ni del sistema de frenos, ni modificar los sistemas de asistencia, ni siquiera abrir el vehículo. La preocupación es de privacidad y vigilancia, no de seguridad activa de conducción.
Eso no la hace menos relevante. El Honda Civic 2021 es uno de los modelos más populares en su segmento, lo que multiplica el alcance del problema. Y aunque objetivos de alto perfil suelen tener mejor protección personal, sus alrededores (seguridad, asistentes, choferes) suelen quedar fuera de ese paraguas y pasan a ser vector de inteligencia.
¿Puede haber otros modelos afectados?
Sí, y esa es la peor noticia. Es probable que la misma vulnerabilidad exista en otras marcas y modelos: los OEMs suelen contratar el mismo proveedor de hardware/software de infotainment para varias líneas, lo que diluye la responsabilidad y multiplica la superficie de ataque.
Las vulnerabilidades en autos no son nuevas. Hace ocho años, Volkswagen se negó a parchar una falla explotable vía internet en modelos VW y Audi argumentando que sin OTA no había forma práctica de hacerlo. En 2017, documentos filtrados a WikiLeaks sugerían que la CIA estaba investigando cómo tomar el control remoto de vehículos. La conectividad y las funciones de software hicieron la conducción más cómoda, pero la falta de medidas básicas de seguridad sigue siendo preocupante. Solo va a empeorar a medida que prácticamente cualquier auto nuevo trae ADAS, infotainment digital y conectividad inalámbrica.
¿Quiero hacer la prueba en mi propio Civic?
McDonald liberó las herramientas necesarias para experimentar con el head unit del Honda Civic 2021 en GitHub. Como siempre con este tipo de modding, la advertencia estándar aplica: un paso en falso puede dejar el infotainment inutilizable y la única salida es reemplazar la unidad completa.
