Alguns pesquisadores de segurança descobriram vulnerabilidades graves no outono passado que permitiriam que hackers roubassem carros e dados de clientes de vários fabricantes. Em uma nova atualização, um dos pesquisadores escreve que as vulnerabilidades são mais abrangentes e podem até afetar veículos de aplicação da lei e serviços de emergência.
As vulnerabilidades graves dos carros
Múltiplas vulnerabilidades poderiam permitir que invasores rastreassem e controlassem remotamente veículos policiais, ambulâncias e veículos de consumo de vários fabricantes, de acordo com o último relatório do pesquisador Sam Curry . A atualização segue um aviso semelhante de novembro.
O ponto fraco das plataformas de serviços de emergência é o site da empresa que controla o GPS e a Telemática de mais de 15 milhões de dispositivos, a maioria veículos – a Spireon Systems. Os pesquisadores descreveram o site da Spireon como desatualizado e podiam fazer login com uma conta de administrador com alguma engenhosidade.
A partir daí, eles poderiam rastrear e controlar remotamente frotas de veículos policiais, ambulâncias e veículos comerciais. Os invasores podem destravar os carros, ligar os motores, desativar os interruptores de ignição, enviar comandos de navegação para frotas inteiras e controlar atualizações de firmware para potencialmente distribuir malware.
No ano passado, Curry disse que as vulnerabilidades dos sistemas remotos da SiriusXM podem permitir que hackers roubem veículos Acura, Honda, Infiniti e Nissan usando apenas o número de identificação do veículo de cada carro. Eles também podem acessar as informações pessoais dos clientes. O novo relatório revela perigos semelhantes com os modelos Kia, Hyundai e Genesis.
Além disso, sistemas de logon único mal configurados permitem que os pesquisadores acessem os sistemas corporativos internos da BMW, Mercedes Benz e Rolls Royce. As falhas não davam acesso direto ao veículo. Ainda assim, os invasores podem ter violado as comunicações internas da Mercedes Benz, acessado as informações da concessionária da BMW e sequestrado qualquer conta de funcionário da BMW ou da Rolls Royce. Falhas de segurança nos sites da Ferrari também permitem que os pesquisadores acessem privilégios administrativos e excluam todas as informações do cliente.
Os pesquisadores também descobriram que a maioria, se não todas, as placas digitais da Califórnia eram vulneráveis a invasores. Depois que o estado legalizou as placas digitais no ano passado, uma empresa chamada Reviver tratou possivelmente de todas elas, e surgiram falhas de segurança nos sistemas internos da Reviver.
Os titulares de placas digitais podem usar o Reviver para atualizar suas placas e denunciá-las como roubadas remotamente. No entanto, as vulnerabilidades permitiram que os invasores concedessem às contas comuns do Reviver privilégios elevados que poderiam rastrear, alterar e excluir qualquer registro no sistema.
A última postagem do blog de Curry detalha extensivamente a metodologia por trás desses e de outros hacks para os interessados no âmago da questão. Sua equipe relatou as vulnerabilidades às empresas afetadas antes da divulgação. Pelo menos alguns deles confirmaram a emissão de patches de segurança.
Leia também: Tesla não deve iniciar a produção em massa do Cybertruck até o final de 2023
