Hackers chineses conseguiram contornar parte da segurança do veículo Tesla Model S e assumiram o controle remoto de uma aplicação do carro, o que lhes permitiu manipular diversas funções, como a abertura e fecho de portas, luzes, buzina e tecto de abrir .
O grupo de piratas informáticos demonstrou, durante a conferência SyScan +360, a fragilidade da tecnologia aplicada a veículos conectados. Segundo Vicente Díaz, Principal Security Analyst da Kaspersky Lab, “ainda há muito por fazer, sobretudo em matéria de segurança, antes que tenha condições de se tornar numa tecnologia de utilização regular”.
Para assumir o controle , os hackers quebraram o código de seis dígitos da app móvel do veículo Tesla Model S. A aplicação/aplicativo, disponível para Android e iOS, permite que os utilizadores executem determinadas funções remotamente,como abrir ou fechar as portas e localizar o veículo no mapa.
“A inclusão destas tecnologias implica uma série de vantagens, mas também traz novos riscos com que, até agora, o utilizador não se deparava”, afirma Díaz. “Os riscos a que estão sujeitos os utilizadores dos carros conectados vão desde o roubo de passwords à abertura de portas, passando pelo acesso indevido a serviços remotos, à localização do carro e inclusive ao controlo físico do veículo”.
A equipa de segurança da Kaspersky dá uma série de indicações para os utilizadores deste novo conceito de veículos, com o objectivo de evitar os perigos que possam derivar da conectividade nos carros:
- O smartphone é por excelência o dispositivo a partir do qual se gere a maioria das aplicações dos carros, pelo que há que ter cuidado com a password escolhida para aceder ao sistema, já que esta actuará como a chave de acesso ao veículo. A escolha de uma má pregunta/password pode permitir que alguém tome o controlo do telefone e possa, assim, abrir as portas, conhecer o status do veículo, acender e apagar as luzes, tocar a buzina, activar a climatização… e inclusive localizar o carro num mapa.
- Cuidado com as apps que descarrega para o carro. As lojas de aplicações para os dispositivos móveis incluem algumas defeituosas e apps maliciosas que podem permitir o controlo do veículo a terceiros e o acesso a toda a nossa informação, pelo que este pode ser um vector de ataque através do qual o carro pode ser controlado à distância.
- Outras ameaças podem surgir através dos websites das marcas de carros que disponibilizam actualizações do software para os sistemas de conectividade,já que os cibercriminosos podem criar uma actualização falsa e maliciosa e distribuí-la através de métodos de engenharia social.
- O roubo de credenciais de utilizador para aceder aos sistemas de conectividade, seja através de phishing, keyloggers ou engenharia social, permitiria aos cibercriminosos acederem a dados pessoais do utilizador e do veículo, como a localização, as rotas seguidas, os restaurantes consultados na rede… definitivamente, dados de carácter pessoal que poderiam ser aproveitados pelos spammers para enviar publicidade de forma massiva ou por pessoas ou organismos que desejem invadir a privacidade do dono do veículo.
- O risco de galhas na privacidade dos dados também ode ser causado pela partilha de dados acerca da nossa actividade no veículo com terceiros.
- A constante actualização dos sistemas operativos com as últimas versões e a instalação de uma solução de segurança em todos os dispositivos que interajam com o carro conectado é, por tudo o que foi dito antes, fundamental.
Comentários