Pesquisadores de segurança da PenTestPartners divulgaram detalhes de uma vulnerabilidade no plugin do veículo elétrico híbrido (PHEV) considerada perigosa para os usuários do campeão de vendas Mitsubishi Outlander. A lacuna de segurança, explicada em um boletim de segurança de segunda-feira, 5 de junho, afeta o modelo SUV da firma japonesa, permitindo que possíveis agressores explorem a conectividade do carro e se aproveitem dela – desabilitando o sistema de alarme do carro e comprometendo todo o veículo.
Essa brecha de segurança está relacionada ao módulo WiFi do veículo, abrindo uma entrada aos hackers, permitindo que um agressor obtenha acesso não apenas ao sistema de alarme do carro, mas também a suas configurações. Também pode permitir que um agressor ou qualquer força externa esgote a bateria do veículo.
[Leia: Não é apenas nos filmes: A possibilidade real de sequestros de carros]
Os pesquisadores explicaram, “O que é realmente incomum é o método de conectar o aplicativo móvel ao carro. A maioria dos aplicativos de controle remoto para localizar carros, piscar as luzes, travar remotamente, etc. usam um serviço na web. O serviço na web é hospedado pelo fabricante do carro ou por seu fornecedor do serviço. Esse então se conecta ao veículo usando o GSM em um módulo no carro. Assim, pode-se comunicar com o veículo com dados móveis de virtualmente qualquer lugar.”
No caso do PHEV Outlander, ao invés de um módulo GSM normalmente usado, o veículo permite a conectividade Wi-Fi. O estudo realizado depois mostrou que o tal módulo “não foi implementado com segurança” com sua chave pré-compartilhada facilmente decifrável. Além disso, o nome da rede WI-Fi do Outlander é “distinctive”. Isso significa que qualquer agressor com intenções maliciosas pode facilmente rastrear o carro de sua preferência. Depois que um ator malicioso destrava e penetra no sistema, os portões estão abertos para muitos possíveis ataques – desde controlar as luzes e temperatura do veículo até funções de travar/destravar.
Em uma declaração feita a ZDnet, os pesquisadores divulgaram que a vulnerabilidade já foi devidamente comunicada à empresa. Isso mereceu uma resposta “desinteressada” do gigante automotivo. Curiosamente, depois da divulgação da informação à mídia, os diretores da Mitsubishi rapidamente mudaram suas reações. Parece que uma correção está atualmente em andamento.
Segundo a Mitsubishi, nenhuma ocorrência semelhante foi relatada em outras partes do globo. Com mais de 100.000 carros híbridos vendidos, a empresa observou que está levando o assunto muito a sério, trabalhando de perto com os pesquisadores e autoridades para impedir e evitar possíveis danos trazidos por esse contratempo de segurança não resolvido. Até agora, com as investigações em andamento, a empresa incentivou os usuários a desabilitar seu WiFi de bordo no aplicativo e cancelar o registro VIN.
Em março, as autoridades fizeram um anúncio de interesse público alertando as pessoas sobre essa contínua onda de explorações remotas que podem deixar motores de veículos vulneráveis. O boletim do FBI observou, “O FBI e a NHTSA estão alertando o público em geral e os fabricantes – de veículos, componentes de veículo e dispositivos de pós-venda – para terem consciência de potencias problemas e ameaças de cibersegurança relacionadas às tecnologias de veículos conectados dos carros modernos.”
A Mitsubishi se junta a crescente linha de carros inteligentes que estão vulneráveis a erros de segurança. Em fevereiro de 2016, Troy Hunt e Scott Helme, descobriram que um aplicativo para o carro Leaf da Nissan podia ser usado para hackear remotamente quaisquer sistemas internos do carro. Antes disso, no mesmo mês, um pesquisador de San Diego divulgou como uma falha crítica no sistema operacional do carro inteligente permitia que ele fosse sequestrado, simplesmente tocando um CD com malware incorporado. Em 2015, os especialistas em segurança Chris Valasek e Charlie Miller simularam um sequestro de carro usando conectividade 3G em um novo Jeep Cherokee que causou a retirada de 1.4 milhões de veículos. Depois do experimento, os pesquisadores também apontaram uma exploração que poderia assumir o controle dos freios do veículo, entre outros sistemas críticos.
O pesquisador sênior de ameaças Rainier Link, em seu vídeo, fala sobre a segurança do carro inteligente e o papel dos fabricantes na promoção da segurança dessa tecnologia emergente. “Do ponto de vista do fabricante, eles podem ter muito conhecimento sobre a construção de carros mas pode faltar um pouco de conhecimento de segurança de TI porque isso é novo para eles“.