Pesquisadores mostram os carros “mais hackeáveis” na Black Hat 2014

Relatório que será apresentado na conferência em Las Vegas ‘dedura’ os veículos mais vulneráveis a um ataque via Bluetooth ou aplicações mobile on-board

Um relatório a ser apresentado esta semana na Black Hat USA, em Las Vegas, promete detalhar os carros mais vulneráveis a um ataque hacker via Bluetooth ou através de aplicações de telefonia móvel on-board. Os pesquisadores Charlie Miller e Chris Valasek, que no passado já liberaram outros relatórios sobre veículos mais vulneráveis, pretendem apresentar um update do relatório mostrandos os carros mais seguros e os menos inseguros.

“Um atacante malicioso se aproveitando de uma vulnerabilidade remota poderia fazer qualquer coisa, desde habilitar um microfone para escuta até mudar a direção ou desabilitar os freios”, alertam os pesquisadores.

Segundo os pesquisadores, os veículos mais hackeáveis incluem o modelo 2014 do Jeep Cherokee, o modelo 2015 do Cadillac Escalade e o modelo 2014 do Toyota Prius. Os carros mais seguros digitalmente incluem o Dodge Viper, o Audi A8 e o Honda Accord.

Ataque ao vivo

Na conferência 2013 Def Con, Miller, que é engenheiro de segurança do Twitter, e Valasek, diretor de inteligência de segurança da empresa IOActive, descreveram formas de lançar ciberataques para controlar os freios e a direção de um Prius e um Ford Escape.

Miller e Valasek não testaram fisicamente os veículos citados no relatório deste ano, apoiando-se apenas na informação sobre os recursos automatizados dos carros e na sua rede interna. “Não conseguimos dizer com segurança se podemos hackear o Jeep e falhar no Audi”, disse Valasek em entrevista ao Dark Reading. “Mas o rádio sempre vai conseguir se comunicar com os freios”, porque estão ambos na mesma rede.

Testes comprovam

De acordo com o relatório “Connected Car Cybersecurity” da ABI Research, há um bocado de “provas de conceito” demonstrando como é possível interceptar sinais wireless de sistemas de monitoramento de pressão de pneus; travar sistemas anti-roubo e assumir o controle remoto do piloto automático através do bus específico do veículo, conhecido como controller area network (CAN).

Todos os veículos modernos têm um CAN, que é um bus interno que permite aos microcontroladores e dispositivos se comunicarem entre si. Ao ganhar acesso por meio de uma conexão wireless um invasor poderia potencialmente assumir o controle de sistemas críticos do carro, como freios e direção.

Os carros também possuem uma porta física padrão chamada de OBD-II bus que poderia ser invadido. “O bus OBD-II dos carros é um dos pontos fracos, mas  tecnologias wireless como celular, V2X e Wi-Fi constituem brechas adicionais, permitindo o hacking a partir de um dispositivo wireless remoto, fora do veículo, comprometendo a autenticação e a integridade das mensagens trocadas pelos componentes”, diz o relatório.

Evitando riscos

Muitos dos riscos são provocados pelas montadoras ao dar acesso ao CAN dos seus carros para desenvolvedores de aplicativos. O quanto alguns carros são mais vulneráveis que outros vai depender, em última instância, dos protocolos e da tecnologia que eles adotarem, aponta o relatório.

Nick Colella, gerente de Infotainment Manager da Ford, disse que a sua empresa e outras companhias estão pesquisando o uso da Ethernet como uma rede isolada, mais segura e mais rápida para veículos.

Diferente dos fabricantes de dispositivos móveis que usam tecnlogia no estado da arte para manter seguros smartphones e tablets, a indústria automotiva tem sido geralmente relaxada com relação à tecnologia. Os sistemas de computação em automóveis, como tantos outros sistemas, podem ser relativamente velhos por conta do ciclo típico de desenvolvimento de três a cinco anos de um carro.

Tecnologia antiga

“Nada envelhece mais rápido num carro do que os eletrônicos. Você pode ter um carro de luxo com cinco anos de uso e ele ser equivalente a um jogo de Nintendo quando comparado ao seu smartphone”, diz Scott Morrison, engenheiro da Layer 7 Technologies, da CA.

Dispositivos móveis estão se conectando a automóveis por meio de APIs como a CarPlay da Apple, o Automotive Link da Google e o padrão MirrorLink, agnóstico de sistema operacional.

De certa forma, o carro está se tornando um grande dispositivo móvel, segundo Morrison e outros especialistas. E na medida em que a indústria automobilística se move na direção de veículos conectados, capazes de se comunicar uns com os outros e com a infraestrutura ao seu redor, ela também tem de endereçar a proteção e a segurança dos microprocessadores dos carros.

Pesquisadores mostram os carros “mais hackeáveis” na Black Hat 2014 – IDG Now!.

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *