Dos profesionales de ciberseguridad de los Países Bajos descubrieron que solo se necesita un clic para secuestrar los datos del tráfico y obtener control sobre los semáforos. No está claro si el truco puede causar algún problema todavía. Los investigadores Rik van Duijn y Wesley Neelen, que también son cofundadores de la firma de software y servicios […]
Dos profesionales de ciberseguridad de los Países Bajos descubrieron que solo se necesita un clic para secuestrar los datos del tráfico y obtener control sobre los semáforos. No está claro si el truco puede causar algún problema todavía.
Los investigadores Rik van Duijn y Wesley Neelen, que también son cofundadores de la firma de software y servicios de seguridad Zolder, comenzaron su investigación por curiosidad. El anuncio de aplicaciones para teléfonos inteligentes que encienden los semáforos en verde para los ciclistas se hizo bastante popular este año en los Países Bajos. Y los dos querían verificar si las aplicaciones se ajustaban completamente al propósito de los ciclistas.
“Pudimos falsificar a un ciclista, de modo que el sistema estaba viendo a un ciclista en la intersección, y pudimos hacerlo desde cualquier lugar”, explicó Neelen. Incluso podrían manejarlo desde casa.
Esta brecha de seguridad no solo estaba presente en una de las aplicaciones. Intentaron otra aplicación similar con una implementación más amplia. Los datos falsos podrían enviarse a otros semáforos en diez ciudades holandesas diferentes y el resultado fue el mismo.
“Simplemente aceptan lo que sea que les pongas”, dijo Neelen.
Neelen y van Duijn básicamente hicieron ingeniería inversa de las aplicaciones y crearon un mensaje falso de conciencia cooperativa llamado entrada CAM. Los datos imitados fueron enviados por un script de Python en la computadora portátil del hacker. Así fue como se entregó para encender los semáforos en verde, cuando un ciclista de usuarios de teléfonos inteligentes se acercaba a la ubicación elegida por los piratas informáticos.
Grabaron el truco en dos demos diferentes en la ciudad de Tilburg. La primera prueba incluyó cierta interacción con un par de vehículos que pasaban por la intersección.
Durante la segunda prueba, sin embargo, no hubo tráfico. Los profesionales establecieron el control simplemente ordenando su computadora portátil que se podía hacer desde cualquier lugar con una simple conexión a Internet.
Neelen y van Duijn se unieron a la conferencia de piratas informáticos DEF CON en línea el 5 de agosto, para mostrar sus hallazgos y resultados sobre posibles brechas en el sistema de transporte inteligente del país.
Un pirata informático anónimo filtró alrededor de 20 GB de archivos confidenciales y propiedad intelectual de Intel, la fuga de “Exconfidential Lake” incluye los documentos que la compañía tecnológica proporcionó en virtud de un acuerdo de confidencialidad en mayo.
Investigación realizada por Alvaro Muñoz de GitHub y Oleksandr Mirosh de Micro Focus Fortify, identificó más de 30 vulnerabilidades en 20 sistemas de gestión de contenido (CMS) populares, incluidos Microsoft SharePoint y Atlassian Confluence, y se centró en los controles de seguridad implementados por varios marcos y productos de CMS y métodos para evitarlos.