0
0
Por Felipe Demartini
Os aplicativos de 16 marcas de carros com alcance mundial tinham falhas graves de segurança que poderiam permitir a um atacante o acesso a dados dos donos dos veículos e até determinado controle sobre eles. As falhas também foram encontradas em três tecnologias automotivas, o que poderia ampliar ainda mais o alcance destas explorações caso elas não tivessem sido corrigidas.
As vulnerabilidades foram encontradas nos apps de marcas como Ford, Honda, Nissan, Hyundai, Kia, Toyota, BMW, Mercedes-Benz, Porsche, Land Rover, Jaguar, Rolls Royce, Ferrari, Infiniti, Acura e Genesis.
Brechas também foram encontradas nas plataformas de entretenimento, análise, documentação e telemetria SiriusXM, Reviver e Spireon; cada uma tinha alcance diferente, de acordo com as implementações em cada aplicação.
Em múltiplos casos, era possível realizar tarefas como abrir e trancar portas, manipular sistemas internos de entretenimento e consultar dados de diagnóstico, além de gerar riscos envolvendo a ativação ou desligamento do motor contra a vontade do condutor.
Alguns dos aplicativos possibilitavam que, a partir das aberturas nas APIs, até mesmo câmeras frontais e traseiras fossem acessadas, abrindo ainda mais vias de comprometimento dos donos dos carros, atingindo diretamente a privacidade deles, além de permitir o acompanhamento remoto.
/i673806.jpeg)
Segundo o pesquisador em segurança Sam Curry, responsável por revelar as falhas de segurança ao lado de um time de especialistas, as vulnerabilidades mais severas estão nos sistemas da BMW e Mercedes. Nessas duas marcas, não apenas os dados de clientes estavam em perigo, mas também os das próprias montadoras, com falhas de login permitindo o acesso a servidores, documentos de compra com dados sensíveis, chats de atendimento, instâncias de desenvolvimento no GitHub e tarefas de manutenção remota para os carros.
Ainda seguindo o mesmo padrão de gravidade, aberturas nos sistemas usados pela Porsche, bem como na plataforma Spireon, também permitiam que um atacante acompanhasse os carros por meio do GPS. Ainda mais grave era a brecha no sistema de licenciamento eletrônico Reviver, com mais de 15 milhões de veículos atingidos por uma falha que possibilitava a manipulação de registros, gerando possíveis problemas legais para os proprietários caso fossem inseridas informações sobre roubo ou desaparecimento em seus cadastros.
/i673802.jpeg)
Dados pessoais dos donos dos veículos também puderam ser localizados a partir de falhas nas APIs usadas por Honda, Ford, Kia, Nissan, Hyundai, Mercedes, BMW, Toyota e outras. O risco, apontou o especialista, é especialmente algo quando se fala de marcas de alto padrão, como Ferrari, Rolls Royce e Porsche, podendo levar ao comprometimento de endereços, informações financeiras e dados pessoais.
Curry aponta ainda que uma brecha nas plataformas usadas pela Ferrari poderia ser usada para extrair credenciais de acesso de funcionários da empresa a partir de seus sistemas internos de atendimento. No caso da BMW, também era possível o acesso indevido a plataformas de revendedoras que poderiam acessar documentos de negociações em andamento, vendas concluídas e demais dados de trabalhadores e clientes.
Todas as brechas foram reportadas de forma responsável às montadoras e marcas, que já aplicaram correções para impedir acessos e manipulações indevidos, assim como a realização de ataques. Não existem indícios de golpes envolvendo tais falhas, sendo esta a segunda vez que o time liderado por Curry publica relatórios desse tipo — no início de dezembro, ele também havia encontrado vulnerabilidades nos apps de marcas como Hyundai e sistemas de telemetria.
A recomendação é que os proprietários de veículos, de qualquer montadora, mantenham seus aplicativos e sistemas sempre atualizados. Além disso, na hora de comprar um carro usado com recursos tecnológicos e conectados, é importante garantir que as informações do dono anterior não estão mais registradas nos sistemas, bem como apagar as próprias na hora de passar a máquina adiante.
FONTE: CANALTECH