Foto: divulgação.
Um grupo de pesquisadores independentes da área de segurança da informação descobriu um bug no site da montadora sul-coreana Kia que permitia o controle de várias funções e localização dos automóveis.
Os estudiosos relataram a falha em junho à fabricante e, ao mesmo tempo, demonstraram ao site Wired como o procedimento era feito.
Tratava-se de uma falha simples no backend do site da montadora, usado por clientes e revendedores para configurar e gerenciar o acesso aos recursos conectados dos carros.
Através de privilégios de acesso concedidos a usuários revendedores, os pesquisadores enviaram comandos à API do site e passaram a controlar diversos recursos dos automóveis, além de obter informações como a identificação de placas por meio do número de identificação do veículo.
O portal também permitia o acesso a uma grande quantidade de informações pessoais dos clientes, como nomes, endereços de e-mail, números de telefone, endereços residenciais e rotas de condução dos veículos — o que poderia causar um vazamento massivo de dados.
Ao descobrir a vulnerabilidade, o grupo criou um aplicativo simples e personalizado para enviar comandos. Bastava que o carro da Kia estivesse conectado à internet para que, com o escaneamento da placa do veículo, fosse possível localizar o automóvel, destravá-lo, acionar a buzina e até ligar o motor em questão de segundos.
O hackeamento não dava acesso aos sistemas de direção, freios ou volante, nem permitia o bloqueio do imobilizador, que impede o roubo de carros mesmo com a ignição ligada. Apesar disso, o roubo poderia ocorrer em modelos populares da marca que não possuem o dispositivo de bloqueio.
Nos carros equipados com câmeras 360º, estes dispositivos também estavam acessíveis aos hackers.
Esses testes iniciais foram realizados em um Kia Soul 2020 e em diversos modelos da marca, incluindo carros alugados, de amigos e até em lotes de concessionárias.
"Se alguém te cortasse no trânsito, você poderia escanear a placa e saber onde essa pessoa estava sempre que quisesse e invadir o carro dela. Se não tivéssemos alertado a Kia, qualquer pessoa que pudesse consultar a placa de alguém poderia, essencialmente, persegui-la", relatou Sam Curry, um dos pesquisadores, ao site Wired.
Curry também alertou que esse problema já havia sido sinalizado à montadora anteriormente. Problemas semelhantes foram encontrados em carros da Hyundai, grupo controlador da marca.
Após ser sinalizada, a Kia realizou alterações na API do site para bloquear o acesso. A empresa informou ao Wired que leva a sério o trabalho dos pesquisadores de segurança e ainda estava implementando uma correção permanente para o problema.
Apesar de considerar as recomendações do grupo, a montadora não respondeu aos pesquisadores sobre as medidas tomadas e, após o prazo de 90 dias para a correção dos problemas de segurança relatados, o grupo decidiu tornar pública a descoberta.
Nos últimos dois anos, uma série de vulnerabilidades foi identificada em sites de mais de uma dúzia de fabricantes, incluindo Acura, Genesis, Honda, Hyundai, Infiniti e Toyota. Quanto mais recursos os carros têm, mais bugs aparecem.
Um dos pesquisadores, identificado como Riviera, relatou que, quando trabalhava no setor de segurança cibernética automotiva, percebia que as empresas focavam seus esforços nos dispositivos digitais embarcados em vez da segurança da web devido ao custo que um recall de peças causa.
Fagner Ramos
Jornalista no Baguete Diário