Os investigadores descobriram várias vulnerabilidades nos sistemas de infoentretenimento utilizados em alguns modelos de automóveis Škoda. Ao explorar essas vulnerabilidades, os invasores podem ativar remotamente determinados controles e rastrear a localização dos veículos em tempo real.
Fonte da imagem: skoda-auto.com
A descoberta pertence a especialistas da empresa PCAutomotive, especializada em questões de cibersegurança – eles realizaram um estudo usando o exemplo do sedã Škoda Superb III e relataram 12 vulnerabilidades no evento Black Hat Europe. Um ano antes, a mesma empresa divulgou mais 9 vulnerabilidades no mesmo modelo. As novas vulnerabilidades podem ser interligadas e usadas para lançar malware nos sistemas dos veículos.
Para iniciar um ataque, um invasor pode se conectar à unidade de mídia Škoda Superb III via Bluetooth – nenhuma autenticação é necessária e o hacker pode estar localizado a uma distância de 10 m do carro. Vulnerabilidades no sistema de infoentretenimento MIB3 permitem execução e execução ilimitada de código sempre que o dispositivo é ligado.
Um hacker pode receber as coordenadas GPS do carro em tempo real, registrar dados de velocidade, gravar conversas dentro do carro por meio de um microfone instalado no sistema, fazer capturas de tela da interface do sistema de infoentretenimento e reproduzir sons arbitrários através dele. Se o proprietário do carro tiver habilitado a sincronização de contatos com o telefone, o invasor poderá copiar a lista telefônica – vale ressaltar que esses dados geralmente são criptografados no telefone. Os pesquisadores não conseguiram contornar a proteção do gateway de rede do carro para acessar o sistema de direção, freios e acelerador.
Sistemas MIB3 vulneráveis são usados em vários modelos de automóveis Volkswagen e Škoda; De acordo com dados abertos sobre volumes de vendas, cerca de 1,4 milhão de carros estão vulneráveis. Com a inclusão de componentes de reposição, esse número pode ser muito maior, alertam os especialistas. Os especialistas da PCAutomotive relataram suas descobertas à Volkswagen, proprietária da empresa tcheca, e esta fechou as vulnerabilidades identificadas. “As vulnerabilidades divulgadas no sistema de infoentretenimento foram e serão abordadas através do monitoramento contínuo de atualizações ao longo do ciclo de vida de nossos produtos. Nunca houve e não há riscos de segurança para nossos clientes ou nossos carros”, disse um representante da Škoda ao TechCrunch.