Veículos com controlo remoto são vulneráveis aos hackers

Um grupo de hackers chineses conseguiu contornar parte da segurança do veículo Tesla Model S, assumindo o controlo à distância de uma aplicação móvel vinculada ao carro e que permite manipular funções, como a abertura e fecho de portas ou a localização do veículo.

Os riscos para os utilizadores dos carros conectados vão desde o roubo de passwords, à abertura de portas, passando pelo acesso a serviços remotos, localização do carro e inclusive o controlo físico do veículo. Um grupo de hackers chineses demonstrou estas e outras vulnerabilidades ao controlar de forma remota a abertura e fecho de portas, luzes, buzina e tecto de abrir do veículo modelo Tesla Model S. Este ataque ocorreu durante a conferência SyScan +360, onde a equipa de hackers conseguiu demonstrar que, no diz respeito a esta tecnologia, “ainda há muito por fazer, sobretudo em matéria de segurança, antes que existam condições de se tornar numa tecnologia de utilização regular”, na opinião de Vicente Díaz, Principal Security Analyst da Kaspersky Lab.

O método utilizado pelos hackers baseia-se na violação do código de seis dígitos da app móvel do veículo fabricado pela Tesla Motors. Esta aplicação, disponível para Android e iOS, dá aos utilizadores deste modelo funções que podem ser executadas à distância, como abrir ou fechar as portas e localizar o veículo no mapa. “A inclusão destas tecnologias implica uma série de vantagens, mas também traz novos riscos com que, até agora, o utilizador não se deparava”, refere o responsável da Kaspersky. «Os riscos a que estão sujeitos os utilizadores dos carros conectados vão desde o roubo de passwords à abertura de portas, passando pelo acesso indevido a serviços remotos, à localização do carro e inclusive ao controlo físico do veículo».

Aos utilizadores deste novo conceito de veículos, a empresa deixa um conjunto de conselhos:

• O smartphone é por excelência o dispositivo a partir do qual se gere a maioria das aplicações dos carros, pelo que há que ter cuidado com a password escolhida para aceder ao sistema, já que esta actuará como a chave de acesso ao veículo. A escolha de uma má pregunta/password pode permitir que alguém tome o controlo do telefone e possa, assim, abrir as portas, conhecer o status do veículo, acender e apagar as luzes, tocar a buzina, activar a climatização… e inclusive localizar o carro num mapa.
• Cuidado com as apps que descarrega para o carro. As lojas de aplicações para os dispositivos móveis incluem algumas defeituosas e apps maliciosas que podem permitir o controlo do veículo a terceiros e o acesso a toda a nossa informação, pelo que este pode ser um vector de ataque através do qual o carro pode ser controlado à distância.
• Outras ameaças podem surgir através dos websites das marcas de carros que disponibilizam actualizações do software para os sistemas de conectividade, já que os cibercriminosos podem criar uma actualização falsa e maliciosa e distribuí-la através de métodos de engenharia social.
• O roubo de credenciais de utilizador para aceder aos sistemas de conectividade, seja através de phishing, keyloggers ou engenharia social, permitiria aos cibercriminosos acederem a dados pessoais do utilizador e do veículo, como a localização, as rotas seguidas, os restaurantes consultados na rede… definitivamente, dados de carácter pessoal que poderiam ser aproveitados pelos spammers para enviar publicidade de forma massiva ou por pessoas ou organismos que desejem invadir a privacidade do dono do veículo.
• O risco de galhas na privacidade dos dados também ode ser causado pela partilha de dados acerca da nossa actividade no veículo com terceiros.
• A constante actualização dos sistemas operativos com as últimas versões e a instalação de uma solução de segurança em todos os dispositivos que interajam com o carro conectado é, por tudo o que foi dito antes, fundamental.

Também vai gostar de ler o artigo: O que é o Prazo Médio de Pagamento e como se calcula?