Atacando Veículos: Pontos vulneráveis de um carro conectado

Invadir carros tem rendido grandes manchetes nos últimos meses. Em julho deste ano, os pesquisadores de segurança Charlie Miller e Chris Valasek ganharam a atenção da comunidade de segurança quando eles invadiram com sucesso o computador de um Jeep Cherokee, através do seu sistema Uconnect.

A dupla foi capaz de reescrever o firmware do automóvel, alterar com o sistema de som e ar-condicionado do veículo, e, finalmente, cortar a energia tanto para a transmissão como dos freios.

Os compradores, cujo número deve crescer para um milhão de pessoas, têm acusado as empresas de não responderem às falhas.

A Chrysler, desde então, fez recall de 1,4 milhões de veículos enviando a seus proprietários um pendrive USB com uma correção para a vulnerabilidade Uconnect.

Ao mesmo tempo, os membros do Senado dos Estados Unidos introduziram uma nova legislação, o direito a Lei SPY Car, que exigiria que as montadoras aderissem a determinados padrões de proteção contra a privacidade e pirataria que seriam desenvolvidas pela Federal Trade Commission (FTC) e a National Highway Traffic Safety Administration (NHTSA).

Mas, como vimos, invadindo o sistema de entretenimento, aplicativos móveis conectados, ou a porta OBD2 – uma porta física altamente vulnerável que é normalmente usada para executar diagnósticos em um carro ligado – os atacantes podem comprometer com sucesso sistemas de veículos e dados críticos de usuários valiosos.

Reconhecendo essas ameaças, a empresa de proteção de aplicativos Arxan publicou um infográfico (em inglês) que explica as ameaças em carros conectados e como os motoristas podem se proteger contra esses riscos:

Arxan_Connected_Car_Hack1

 

Uma pesquisa realizada pela Frost & Sullivan em colaboração com o Centro de Pesquisa Automotiva (CAR) revela que os carros conectados têm 16 pontos claros de vulnerabilidade. Os atacantes podem usar vários meios para explorar essas vulnerabilidades, tais como NFC, Bluetooth e 802.11p.

Como mostra o infográfico acima, uma vez que um atacante ganha acesso a um veículo, ele pode extrair um trecho de código binário, fazer engenharia reversa de software do veículo, alterar o código e, em seguida, implantar o seu software malicioso sob medida de volta para o veículo.

Para se proteger contra estas e outras ameaças, é recomendado que os usuários:

– Mantenham os sistemas dos carros atualizados;
– Não façam jailbreak em carros ou quaisquer dispositivos nele localizados;
– Tenham cuidado ao conectar dispositivos em portas USB do veículo;
– Verifiquem com o fabricante de automóveis que todas as aplicações estão protegidas para algumas das ameaças de segurança mais comuns.

Acesse o conteúdo original (em inglês) no link.