La baliza original, la primera que en diciembre de 2022 fue homologada por la DGT a petición de Netun Solutions, empresa gallega fundada por los dos ex guardia civiles creadores del invento, trae un cliente wifi no documentado que se activa al mantener apretado el pulsador de encendido más de 8 segundos. Esta característica que no se menciona en la ficha técnica ni en el manual del equipo, hace que la baliza busque automáticamente un punto de acceso wifi que corresponda con las credenciales que tiene guardadas...
|
etiquetas: capacidad , hackeo , balizas , v16 
Miranda denuncia que la existencia de esta feature podría ser explotada en varios escenarios, como un "taller malicioso" que actualiza el software de las balizas. También permitirá que los usuarios desarrollen firmwares alternativos que no cumplan con los requerimientos de la DGT, no enviando datos o enviando datos falsos, bajo la apariencia de un dispositivo homologado, lo que impediría ser sancionado.]
Edit: Concebolla 4ever
Que demuestra chapuza? Sí, aunque sorprenderse a estas alturas es infantil ya…
Que tiene alguna relevancia?, ninguna
Luego se publica un exploit de mierda en un router prehistórico y estamos todos llorando en círculos y gritando que si los usanos, los chinos o los rusos nos espían. Pues lo mismo en un trasto que vas a usar en caso de emergencia y que te cuesta 40 pavos.
Y luego supongo que te llevan al loquero, merecidamente.
#67 Pedazo de paranoia os gastáis algunos.
Vas cantando muchísima más información (pero muchísima) sólo por llevar un móvil encendido en el bolsillo, incluso aunque no esté conectado a Internet.
Pero lo que te preocupa es una baliza de coche SIN INFORMACIÓN PERSONAL ALGUNA, que además si no eres burro la llevas TOTALMENTE APAGADA para preservar las pilas.
De traca.
Lo siento mucho, no volverá a pasar
La intolerancia a la frustración que os gastáis algunos trolls resulta bastante cómica.
(Viene de #77)
Mil motivos bro!!!!! Mil motivos bro!!!!!
Yo quisiera recordar que los datos van a un servidor hospedado por la DGT, pero que la DGT no hace nada con esos datos, no les importan lo más mínimo, porque la utilidad de este tinglado es que esos datos son públicos a través de una API, para que el señor Google Maps, Waze, Kurviger, Apple y quien quiera puedan acceder a ellos, y así, si estás conduciendo y acercándote al coche averiado, te salte u a alerta de "coche averiado en 60 metros!", o para que u a empresa de grúas… » ver todo el comentario
De hecho Android Car te permite ver los atascos en Maps, y ni siquiera le hace falta la colaboración de la gente como sucede con Waze.
Lo mismo para el resto de apps. Cualquiera que acceda a la ubicación de tu móvil puede trazar tu vida entera. Ahora mismo tienes instaladas decenas de ellas.
Así que toda tu disertación sobre la baliza es mera paranoia. Empezando… » ver todo el comentario
El API de la DGT será simplemente una fuente más (a parte de la información en tiempo real de las plazas libres en los parkings privados, que ahora Maps no tiene).
Esta información está disponible para todas las apps actuales y futuras del mercado, incluso la que puedas programar tú si quieres.
Lo de la DGT es un servicio público para que todos los actores interesados en la movilidad puedan interactuar.
Por ejemplo, las estaciones de carga de… » ver todo el comentario
De hecho esas empresas también saben dónde vives, dónde trabajas, quién es tu amante y a quién votas. Sólo porque llevas en el bolsillo un cacharro encendido que les va cantando en todo momento dónde estás, cuándo estás y con quién estás, identificado con tu número de teléfono.
Y eso si hablamos de apps conectadas a… » ver todo el comentario
Miranda denuncia que la existencia de esta feature podría ser explotada en varios escenarios, como un "taller malicioso" que actualiza el software de las balizas. También permitirá que los usuarios desarrollen firmwares alternativos que no cumplan con los requerimientos de la DGT, no enviando datos o enviando datos falsos, bajo la apariencia de un dispositivo homologado, lo que impediría ser sancionado.]
Necesitas el acceso físico a esa baliza cosa que no es simple no seguramente compense el esfuerzo.
lo unico que se me ocurre es que ademas de a la dgt, se envie la señal al taller malicioso para... no se muy bien para qué.
Instalar una app en el móvil de tu pareja puede cantar mucho, pero nadie se esperaría que lo hicieras en la baliza v16
Hay que ser realistas, esta opción es común en todos los dispositivos IOT. Pulsas su botón unos segundos y entra en mode-pareo
Pero eso es detectable, lo escondas o no el móvil se la víctima se da cuenta.
Y la baliza tiene que estar encendida.
Y tienes que haber pulsado el botón 8 segundos....
En serio, acuéstate y suda.
El apagado del disposivo es por software, no por hardware, por lo que se puede quedar todo el tiempo encendido.
Y claro que tienes un GPS en el móvil, pero instalar una app para que rastree el móvil es mucho más cantoso (y también más sencillo).
Para ponerlo en contexto, ya hay mucha gente que usar los AirTags de Apple para rastrear a sus parejas. Esa es una opción mucho más sencilla, pero si encuentran el dispositivo estás acabado. Sin embargo la baliza es obligatoria y nadie va a pensar que en realidad es un disposiitivo de rastreo
No, no es más cantoso.
¿Nadie va a pensar en usarlo de dispositivo de rastreo? Si ya tienes aquí a 4 frikis hablando de esa gilipollez.
De hecho si encima tienes un accidente de verdad y se ve que eso no está funcionando bien, aparte de la putada que le haces, te pillan en 0 coma.
En fin, ideas de bombero.
Qué vas a hacer, conectarlo a la batería del coche? Aparte de lo super cantosísimo que sería eso, el bicho está en el maletero. Que esa es otra, que estando donde está iba a servir 0 para que funcionase bien el posicionamiento GPS.
Lo dicho, ideas de… » ver todo el comentario
Por cierto, en tu móvil en este momento tienes decenas de apps que acceden a tu ubicación, y ésas sí que trazan tu vida entera en servidores externos de empresas que ni conoces. Tu paranoia con el pirateo de la baliza con intención de informar permanentemente de tu ubicación es simplemente cómica, ese barco hace muchos años que zarpó.
Por otro lado, la sim no da acceso a internet así que solo se podría envía información al servidor del fabricante.
Es una puta baliza para pedir socorro. Quien querría un funcionamiento diferente?
Dice que solo se conectaría a una wifi determinada, pero lo de que viniera bloqueado por ejemplo por un par de pines internos y un puente, estilo reset de las placas base, no me parece mala idea.
No es que sea una vulnerabilidad grave de por si, pero algún malicioso con un punto de acceso portátil encima puede ir saboteando balizas simplemente pulsando un botón.
Y sobre todo que tiene que estar documentado que pulsando ocho segundos un botón activa capacidades wifi que se supone que no tiene.
Tiene sentido que no sea muy complicado.
El mecanismo ha sido descubierto por Luis Miranda, que se presenta como hacker ético, dentro de una investigación detallada acerca de las posibles vulnerabilidades en el proceso de comunicación de las balizas. Aunque se centra en la baliza Help Flash IoT de primera generación que Vodafone sigue vendiendo, sus resultados son en algunos casos extrapolables a otros modelos.]
Hay reels por internet de muchos electrodomésticos que permiten por ejemplo control remoto, pero no se indica en las instrucciones. Y tanto una cosa como la otra debería ser ilegal.
Esas cosas deben venir indicadas claramente por ley. Vulnera la privacidad y es un problema de seguridad.
Entiendo que inicialmente no fuese obligatorio, pero con el nivel de integración y dependencia que hay hoy en día de todo este tipo de electrónica, ya va siendo hora de exigirlo.
Es como los tornillos de un coche. Si no se muestran en la documentación, quién comprueba que están bien?
No veo el riesgo por ninguna parte.
Este dispositivo no sirve para eso y el "backdoor" no es tal. Es algo que no sirve para absolutamente nada que no sea su disenho inicial.
Acuéstate y suda.
El destino de la humanidad depende de esa puta mierda.
Venga, acuéstate y suda.
Deja de ver películas, amigo.
entiendo que es suponer, pero no le veo la gracia
Algo de principios de los 80, ya no me acuerdo ni quien lo decía.
Ya no me importa un poco más o menos,.
Preparaos a ver parejas desconfiadas localizando a sus contrapartes para descubrir infidelidades, uso "ilegítimo" por parte de investigadores privados y similares , y como no las FFSS a veces saltándose las leyes y procedimientos que deberían de seguir.
No veas fantasmas
Sobre batería, como un "poné", podria enviar un SMS con la posición cada 15 o 30 min. con eso seguramente aguanta todo un dia o mas.
Y si, ya tienes en aliexpress dispositivos mejores y a bajo precio. Como dije, es un "poné"
"Pero quien va a querer juankear esto?"
Y ya está, hicieron una mierdolina.