Seguridad de puntos finales, seguridad de Internet de las cosas El sistema de cambio de marchas inalámbrico es vulnerable a ataques de repeticiónAnviksha More (AnvikshaMore) • 21 de agosto de 2024 Estas bicicletas están lo suficientemente cerca como para ser pirateadas. (Imagen: Shutterstock) Imagínese conduciendo por un carril bici y que las marchas cambien de repente sin previo aviso. Los investigadores de seguridad dicen que los ciberdelincuentes podrían aprovechar los nuevos sistemas de cambio de marchas de bicicleta controlados de forma inalámbrica para que eso suceda y provoque accidentes y lesiones. Ver también: SASE: Reconociendo los desafíos de proteger una fuerza laboral híbrida Las bicicletas pueden parecer la última frontera del transporte analógico: marchas, cadena y un descarrilador conectados por cable a palancas de cambio manuales. Pero eso no es así en el extremo superior del ciclismo, donde los sistemas inalámbricos de bajo consumo prometen precisión digital y más seguimiento de datos del que puede ofrecer un simple cable de acero trenzado. Como suele suceder, los fabricantes han pensado rápidamente en las ventajas que ofrece la conectividad inalámbrica y han sido lentos en comprender el potencial de piratería. Pero académicos de la Universidad de Northeastern y la Universidad de California presentaron un artículo a principios de este mes que examina dos sistemas de cambio de marchas inalámbricos fabricados por el gigante japonés de componentes para bicicletas Shimano. Los investigadores descubrieron que los piratas informáticos podrían ejecutar lo que se conoce como un ataque de repetición, en el que un pirata informático intercepta y graba una señal, en este caso transmitida desde las palancas de cambios de la bicicleta al receptor integrado en el descarrilador. Luego, los piratas informáticos retransmiten o reproducen la señal. Los investigadores descubrieron que una vez que registraban una señal que hacía que el descarrilador Shimano cambiara de marcha a una marcha superior o inferior, podían reproducirla en cualquier momento, ya que los paquetes de la señal no tienen marca de tiempo. Los sistemas de cambio inalámbricos son utilizados ahora por los mejores ciclistas y equipos de ciclismo en eventos como los Juegos Olímpicos y el Tour de Francia, lo que genera preocupaciones sobre trampas indetectables en la carrera. El ciclismo como deporte ya tiene una reputación poco limpia gracias a los escándalos de dopaje de alto perfil y el problema más reciente del «dopaje de motores», que implica motores ocultos dentro de las bicicletas. Los investigadores no tuvieron que pensar mucho en cómo se podrían utilizar los ataques de repetición para impulsar a un ciclista a costa de otro. «En las carreras profesionales, cualquier cambio no deseado en la posición de la marcha tendrá consecuencias drásticas y afectará la integridad del deporte», dijeron. Para sabotear la carrera de un ciclista, los investigadores desplegaron una radio definida por software, una antena y una computadora portátil. Su equipo podría caber fácilmente en una mochila, lo que significa que el límite de alcance efectivo desde la bicicleta objetivo es de 10 metros. El coautor del estudio y profesor asociado de Northeastern, Aanjhan Ranganathan, dijo a Information Security Media Group que cifrar las señales de cambio de marcha no sería una defensa efectiva. «Este es un ataque de ‘grabar y reproducir’, lo que significa que no necesitamos descifrar ninguna comunicación, sino simplemente grabarla y reproducirla», dijo. Los sistemas Shimano que estudiaron los autores implementan un cifrado básico para evitar señales falsificadas, pero eso no es una protección contra la retransmisión total de una señal de cambio descendente o ascendente. «El desviador cree que se origina en la palanca de cambios», dijo. Las posibles defensas propuestas por los investigadores incluyen paquetes con sellos de tiempo, pero hacerlo no sería fácil, ya que los sellos de tiempo requieren «una sincronización precisa entre los dispositivos», dijeron. Eso es un desafío cuando los dispositivos separados carecen de una fuente de tiempo compartida, como Internet o señales GPS. Shimano también podría emplear códigos rotativos, una medida preventiva que no eliminaría la posibilidad de un ataque de repetición, pero al menos haría que fuera más difícil de ejecutar. Un sistema de seguridad de código rotativo envía un código numérico de un solo uso generado por un algoritmo conocido por el remitente y el receptor. Los investigadores se pusieron en contacto con Shimano, que colaboró ​​para desarrollar un parche de seguridad. La compañía anunció una nueva actualización de firmware, aunque le dijo a Wired que la actualización hasta ahora está disponible solo para equipos de ciclismo profesional, y que estará disponible para el público a fines de este mes. Como dice la revista, no está claro cómo se supone que los clientes implementen el parche. Por cada avance tecnológico que resuelve un problema existente, también se crean nuevos problemas. El antiguo sistema de cables en espiral puede no haber sido tan preciso, dijo Ranganathan, pero «los sistemas cableados son difíciles de atacar». URL de la publicación original: https://www.databreachtoday.com/investigadores-empujan-un-palo-virtual-en-los-radios-de-una-bicicleta-a-26107