Vulnerabilidades encontradas em aplicativos para Hyundai e outros carros que permitem o controle remoto do carro

Pelo menos três aplicativos móveis projetados para ligar remotamente carros e desbloquear fechaduras foram encontrados com vulnerabilidades que lhes permitem executar remotamente vários comandos. Estamos falando dos aplicativos Hyundai e Genesis, além da plataforma SiriusXM utilizada por diversas montadoras, entre elas Acura, Honda, Nissan, Toyota, entre outras.

Fonte da imagem: Martin Katler/unsplash.com

Uma vulnerabilidade no software da Hyundai permite que invasores interceptem o tráfego entre aplicativos e veículos fabricados após 2012. Ao estudar os softwares MyHyundai e MyGenesis, descobriu-se que a identificação do usuário é realizada comparando o endereço de e-mail do usuário com outros parâmetros. Ao adicionar os caracteres de controle (bytecode) CR e LF ao endereço de e-mail da vítima, os especialistas em segurança cibernética conseguiram criar contas que passaram nas verificações de segurança e permitiram ligar o carro, desligar a buzina, controlar o sistema de ar condicionado, abrir o tronco, etc Segundo especialistas, o problema não está na segurança dos aplicativos, mas na API que eles usam. No entanto, eles argumentam que esse tipo de ataque é bastante difícil de realizar em massa,

Os especialistas também estudaram um dos aplicativos móveis da plataforma SiriusXM – o Nissan Connect. Descobriu-se que, conhecendo o número VIN do carro, você pode obter muitas informações sobre o carro, incluindo o nome do motorista, seu número de telefone, endereço e outras informações.

A Hyundai e a SiriusXM foram informadas sobre o problema em tempo hábil e já lançaram atualizações de firmware. Não há ataques reais usando vulnerabilidades, mas os especialistas acreditam que esses problemas aumentarão à medida que as máquinas se tornarem mais conectadas e a complexidade do software integrado e seus recursos continuarem a crescer.

Embora os carros conectados e autônomos sejam, em muitos aspectos, tão vulneráveis ​​quanto os ecossistemas de informações corporativas, os usuários afetados não têm seus próprios serviços de segurança cibernética e devem confiar apenas na boa fé das montadoras. Hoje, o carro está se tornando mais do que apenas um veículo. Portanto, os fabricantes enfrentam desafios cada vez mais complexos.