Os carros – mesmo os a combustão – estão cada vez mais tecnológicos. Os modelos mais recentes vêm com câmeras, pareamento com celulares e até aplicativos em sistemas de “infotenimento”. Em tese, tudo isso melhora a experiência de dirigi-los. No entanto, quanto mais sistemas, mais brechas para criminosos explorarem.
Para quem tem pressa:
- A infinidade de sistemas na tecnologia atual dos carros têm vulnerabilidades que os deixam mais propensos a roubos e ataques maliciosos;
- Por exemplo, existem ferramentas de retransmissão portátil que burlam os mecanismos de segurança de chaves inteligentes;
- Os criminosos também conseguem usar “execução remota de código” para fornecer código malicioso a sistemas de “infotenimento” dos carros;
- Com a perspectiva de uma possível epidemia de roubos de veículos, as montadoras exploram maneiras de blindar vulnerabilidades o mais rápido possível.
Essas vulnerabilidades deixam os veículos mais propensos tanto a roubos quanto outros tipos de ataques maliciosos. Aliás, isso já está acontecendo, segundo o The Conversation.
Brechas na segurança
As chaves inteligentes devem proteger os veículos modernos contra roubo. Um botão na chave é pressionado para desabilitar o imobilizador do carro (dispositivo eletrônico que evita que o veículo seja ligado sem a chave).
Porém, uma maneira bem conhecida de contornar isso requer uma ferramenta de retransmissão portátil que induz o veículo a pensar que a chave inteligente está mais próxima do que está.
Envolve duas pessoas trabalhando juntas, uma em pé no veículo e a outra perto de onde a chave realmente está, como fora da casa do proprietário. A pessoa perto da casa usa a ferramenta que pode captar o sinal do chaveiro e retransmiti-lo para o veículo.
Também existe um método mais avançado de atacar veículos, conhecido como “ataque de injeção CAN (Controller Area Network)”. Ele estabelece uma conexão direta com o sistema de comunicação interna do veículo.
Os ladrões podem então enviar mensagens falsas que induzem o veículo a acreditar que são da chave inteligente e desativam o imobilizador. Depois de terem acesso ao veículo, podem ligar o motor e conduzir o veículo.
Vulnerabilidades do ‘infotenimento’
A vulnerabilidade potencial desse sistema é frequentemente negligenciada, mesmo que possa ter repercussões catastróficas para o motorista.
Um exemplo é a capacidade dos invasores de usar a “execução remota de código” para fornecer código malicioso ao sistema de computador do veículo.
Em um caso que ocorreu nos EUA, o sistema foi usado como um ponto de entrada para os invasores, por meio do qual eles poderiam implantar seu próprio código. Isso enviava comandos para os componentes físicos dos carros, como o motor e as rodas.
Um ataque como este tem claramente o potencial de afetar o funcionamento do veículo, causando uma colisão – portanto, não se trata apenas de proteger os dados pessoais contidos no sistema.
Ataques dessa natureza podem explorar muitas vulnerabilidades, como navegador de internet do veículo, dongles USB que estão conectados a ele, software que precisa ser atualizado para protegê-lo contra ataques conhecidos e senhas fracas.
Respostas das montadoras
Com a perspectiva de uma possível epidemia de roubos de veículos, os fabricantes exploram novas maneiras para blindar o maior número de vulnerabilidades o mais rápido possível.
Uma estratégia envolve não confiar em nenhuma mensagem recebida pelo carro, chamada de “abordagem de confiança zero”.
Em vez disso, essas mensagens devem ser enviadas e verificadas. Uma forma de fazer isso é instalando no veículo um módulo de hardware de segurança, que funciona gerando chaves criptográficas que permitem criptografar e descriptografar dados, criando e verificando assinaturas digitais nas mensagens.
Este mecanismo está sendo cada vez mais implementado pela indústria automotiva em carros novos.
No entanto, não é prático incorporá-lo aos veículos existentes devido ao tempo e ao custo. Por isso, muitos carros na estrada permanecem vulneráveis a um ataque de injeção CAN.
