Um chinês desenvolveu uma chave universal para invadir carregadores de carros elétricos e muito mais.

Operadores de serviços de aluguel, como bicicletas elétricas e estações de recarga para veículos elétricos, negligenciam a segurança ao usar a arquitetura da IoT. Isso é feito em prol da conveniência do usuário, mas a infraestrutura fica vulnerável a ataques cibernéticos.

Fonte da imagem: JUICE / unsplash.com

O especialista chinês Hetian Shi demonstrou a vulnerabilidade desses serviços a ciberataques comuns em uma conferência especializada. Ele descobriu que os serviços de aluguel que utilizam tecnologias de IoT são vulneráveis ​​em nível arquitetônico: os equipamentos de aluguel possuem portas às quais um atacante habilidoso pode se conectar e encontrar vulnerabilidades.

O firmware dos dispositivos e os serviços de servidor podem usar chaves de autenticação compartilhadas; os aplicativos clientes dos serviços de aluguel também apresentam segurança frágil. Ao burlar a segurança dos aplicativos, um hacker pode, por exemplo, criar clientes fantasmas que os provedores de serviço não conseguem distinguir dos reais; esses clientes fantasmas permitem que os equipamentos de aluguel sejam usados ​​gratuitamente. As informações pessoais desses clientes também ficam em risco, já que o acesso ao servidor é relativamente fácil.

Hetian Shi corroborou suas afirmações com uma demonstração espetacular. Ele criou uma ferramenta universal de hacking para serviços de aluguel, o IDScope, e demonstrou seu funcionamento com o aplicativo iOS de uma das redes de estações de recarga de veículos elétricos mais populares da China. Ele pediu à plateia que selecionasse uma cidade — Xangai foi a escolhida — então apontou para uma das estações no centro da cidade, configurou seu identificador no aplicativo e o inseriu em seu roteiro. Após um ou dois segundos, o ícone verde correspondente ao carregador (“Disponível”) mudou para cinza (“Desativado”).

A segurança frágil na implementação de serviços baseados na arquitetura da IoT permite não apenas a invasão de equipamentos, mas também a exploração de vulnerabilidades.Esses serviços lançam ataques DDoS, desativando redes inteiras de estações de recarga para veículos elétricos em cidades inteiras. O pesquisador também testou 11 aplicativos de provedores de serviços europeus e encontrou problemas semelhantes, concluindo que essas vulnerabilidades são comuns a esses serviços em todo o mundo.