Segurança digital de veículos

A invasão de sistemas automotivos se tornou um foco importante na comunidade de segurança nos últimos anos, à medida que mais veículos são conectados à internet celular. Mas, embora seja conveniente controlar o seu carro a partir do seu telefone, esta facilidade também torna o sistema mais vulnerável a ataques – o que pode ter consequências no mundo real.

O objetivo não é amedrontar ninguém, nem reativar o mercado de veículos Lada (só os mais velhos entenderão o que quero dizer com isto), mas do jeito que as coisas estão indo, temos cada vez menos motivos para dirigir nossos carros despreocupadamente.

Recentemente, um bug descoberto por dois pesquisadores os permitiu obter acesso aos sistemas de backend de um popular sistema de gerenciamento de veículos conectado à Internet.  Este bug poderia ter dado a um hacker malicioso tudo o que precisava para rastrear a localização do veículo, roubar informações do usuário e até mesmo desligar o motor.

Os pesquisadores Vangelis Stykas e George Lavdanis detalharam a existência de um bug em um servidor mal configurado administrado pela Calamp, uma empresa de telemática que fornece segurança e rastreamento de veículos, o que lhes deu “acesso direto à maior parte de seu banco de dados de produção”.

Um usuário pode nem perceber que usa os sistemas do Calamp. Muitos aplicativos, incluindo o aplicativo de rastreamento de veículos Viper SmartStart, que permite que seus usuários localizem, iniciem e controlem seus carros a partir de seus telefones, se conectam ao mundo externo através de um gateway da Calamp para seus servidores baseados em nuvem.

Os pesquisadores descobriram que o aplicativo móvel Viper, embora seguro, estava se conectando a dois servidores diferentes – um usado pelo Viper e outro pela Calamp.  Usando as mesmas credenciais do aplicativo, os pesquisadores também puderam fazer o login e obter acesso completo ao servidor do Calamp.

“Você pode facilmente explorá-lo e ter acesso total ao banco de dados”, disse Stykas em um email. “Poderíamos fazer muitas coisas – praticamente qualquer cenário em que pudéssemos pensar seria desastroso, como roubar carros em massa ou desligar o veículo por meio de um botão de pânico ao ir em alta velocidade”, disse ele.

Ao consultar o banco de dados, Stykas disse que seria possível encontrar um carro observando as coordenadas de latitude e longitude, redefinir a senha, destrancar a porta do lado do motorista, acionar o motor e partir.

banco de dados back-end do Calamp

Stykas apresentou várias capturas de tela do servidor, que incluía relatórios de histórico de veículos, históricos de alarme e gráficos de pagamento.

Os pesquisadores disseram que poderiam rastrear o histórico de localização de todos os veículos no banco de dados, mesmo que o usuário logado tivesse permissões limitadas, somente de leitura. Eles também podiam ver nomes de usuários e senhas mascaradas, mas não tinham como exportar os dados.

O bug foi corrigido depois que os pesquisadores entraram em contato com a empresa.

Um porta-voz da Calamp disse que a falha foi corrigida e que a empresa continua revisando o código atrás de novas vulnerabilidades.

“A Calamp leva a questão da segurança de TI e dados a sério. Assim que recebemos o relatório de bug, nossa equipe investigou e desenvolveu imediatamente um patch para resolvê-lo. Acreditamos que esse assunto tenha sido resolvido sem problemas”, disse o porta-voz.

Stykas disse que não tinha certeza sobre quantas empresas ou veículos foram afetados pelo bug do servidor. A Calamp diz em seu site que gerencia ativamente mais de 7 milhões de dispositivos.

Este não é o primeiro exemplo de hacking de carros do qual se ouve falar.

Em 2016, hackers assumiram controle total dos freios em um Jeep Cherokee, o que causou polêmica, depois de testar o hack em uma rodovia. Essa pesquisa em grande parte abriu as comportas para um novo foco em hack de carros. No ano passado, uma falha inatingível na maioria dos carros modernos colocou os motoristas em risco de uma vulnerabilidade que poderia desativar os recursos de segurança, como desligar o airbag.

Os sistemas de informação e entretenimento têm sido os dos principais alvos dos hackers.  Como se pode notar, o alvo pode estar do seu lado ou distante, porém alcançável através da rede de celular.

No filme “2001 – Uma Odisseia no Espaço” debatia-se a fragilidade do homem em relação a máquina, que algum dia poderia se tornar tão inteligente e tão ubíqua, ao controlar tantas dimensões da vida humana, que poderia se insurgir e submeter o homem, e assim lançar as bases de uma nova civilização.  Como se pode ver, as previsões do filme não se confirmaram, mas não estavam tão erradas assim.  O único erro de avaliação é que se vier a existir um culpado este será o próprio homem.

Fonte de informação extraída do site https://www.zdnet.com/article/flaw-connected-alarm-system-exposed-vehicles-remote-hacking/

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *