Mercado fechará em 6 h 42 min
  • BOVESPA

    109.951,49
    +2.121,77 (+1,97%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    53.125,01
    -210,50 (-0,39%)
     
  • PETROLEO CRU

    78,59
    +0,12 (+0,15%)
     
  • OURO

    1.893,90
    +3,20 (+0,17%)
     
  • BTC-USD

    22.698,40
    -483,49 (-2,09%)
     
  • CMC Crypto 200

    522,92
    -13,97 (-2,60%)
     
  • S&P500

    4.117,86
    -46,14 (-1,11%)
     
  • DOW JONES

    33.949,01
    -207,68 (-0,61%)
     
  • FTSE

    7.942,93
    +57,76 (+0,73%)
     
  • HANG SENG

    21.624,36
    +340,84 (+1,60%)
     
  • NIKKEI

    27.584,35
    -22,11 (-0,08%)
     
  • NASDAQ

    12.685,75
    +140,50 (+1,12%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,5769
    +0,0095 (+0,17%)
     

Apps da Ford, Hyundai, Toyota e outras marcas tinham falhas graves de segurança

Os aplicativos de 16 marcas de carros com alcance mundial tinham falhas graves de segurança que poderiam permitir a um atacante o acesso a dados dos donos dos veículos e até determinado controle sobre eles. As falhas também foram encontradas em três tecnologias automotivas, o que poderia ampliar ainda mais o alcance destas explorações caso elas não tivessem sido corrigidas.

As vulnerabilidades foram encontradas nos apps de marcas como Ford, Honda, Nissan, Hyundai, Kia, Toyota, BMW, Mercedes-Benz, Porsche, Land Rover, Jaguar, Rolls Royce, Ferrari, Infiniti, Acura e Genesis.

Brechas também foram encontradas nas plataformas de entretenimento, análise, documentação e telemetria SiriusXM, Reviver e Spireon; cada uma tinha alcance diferente, de acordo com as implementações em cada aplicação.

Em múltiplos casos, era possível realizar tarefas como abrir e trancar portas, manipular sistemas internos de entretenimento e consultar dados de diagnóstico, além de gerar riscos envolvendo a ativação ou desligamento do motor contra a vontade do condutor.

Alguns dos aplicativos possibilitavam que, a partir das aberturas nas APIs, até mesmo câmeras frontais e traseiras fossem acessadas, abrindo ainda mais vias de comprometimento dos donos dos carros, atingindo diretamente a privacidade deles, além de permitir o acompanhamento remoto.

<em>Exemplo de acesso a sistema automotivo que permitia até visualizar as câmeras frontal e traseira dos veíuclos remotamente, constituindo risco à privacidade dos usuários (Imagem: Reprodução/Sam Curry)</em>
Exemplo de acesso a sistema automotivo que permitia até visualizar as câmeras frontal e traseira dos veíuclos remotamente, constituindo risco à privacidade dos usuários (Imagem: Reprodução/Sam Curry)

Segundo o pesquisador em segurança Sam Curry, responsável por revelar as falhas de segurança ao lado de um time de especialistas, as vulnerabilidades mais severas estão nos sistemas da BMW e Mercedes. Nessas duas marcas, não apenas os dados de clientes estavam em perigo, mas também os das próprias montadoras, com falhas de login permitindo o acesso a servidores, documentos de compra com dados sensíveis, chats de atendimento, instâncias de desenvolvimento no GitHub e tarefas de manutenção remota para os carros.

Ainda seguindo o mesmo padrão de gravidade, aberturas nos sistemas usados pela Porsche, bem como na plataforma Spireon, também permitiam que um atacante acompanhasse os carros por meio do GPS. Ainda mais grave era a brecha no sistema de licenciamento eletrônico Reviver, com mais de 15 milhões de veículos atingidos por uma falha que possibilitava a manipulação de registros, gerando possíveis problemas legais para os proprietários caso fossem inseridas informações sobre roubo ou desaparecimento em seus cadastros.

<em>Exemplos de acesso indevido aos sistemas internos de duas montadoras, que poderiam levar à exposição de dados de usuários e alterações que trouxessem problemas aos carros em uso (Imagem: Reprodução/Sam Curry)</em>
Exemplos de acesso indevido aos sistemas internos de duas montadoras, que poderiam levar à exposição de dados de usuários e alterações que trouxessem problemas aos carros em uso (Imagem: Reprodução/Sam Curry)

Dados pessoais dos donos dos veículos também puderam ser localizados a partir de falhas nas APIs usadas por Honda, Ford, Kia, Nissan, Hyundai, Mercedes, BMW, Toyota e outras. O risco, apontou o especialista, é especialmente algo quando se fala de marcas de alto padrão, como Ferrari, Rolls Royce e Porsche, podendo levar ao comprometimento de endereços, informações financeiras e dados pessoais.

Curry aponta ainda que uma brecha nas plataformas usadas pela Ferrari poderia ser usada para extrair credenciais de acesso de funcionários da empresa a partir de seus sistemas internos de atendimento. No caso da BMW, também era possível o acesso indevido a plataformas de revendedoras que poderiam acessar documentos de negociações em andamento, vendas concluídas e demais dados de trabalhadores e clientes.

Todas as brechas foram reportadas de forma responsável às montadoras e marcas, que já aplicaram correções para impedir acessos e manipulações indevidos, assim como a realização de ataques. Não existem indícios de golpes envolvendo tais falhas, sendo esta a segunda vez que o time liderado por Curry publica relatórios desse tipo — no início de dezembro, ele também havia encontrado vulnerabilidades nos apps de marcas como Hyundai e sistemas de telemetria.

A recomendação é que os proprietários de veículos, de qualquer montadora, mantenham seus aplicativos e sistemas sempre atualizados. Além disso, na hora de comprar um carro usado com recursos tecnológicos e conectados, é importante garantir que as informações do dono anterior não estão mais registradas nos sistemas, bem como apagar as próprias na hora de passar a máquina adiante.

Fonte: Canaltech

Trending no Canaltech: