O seu carro vai ser alvo de um ciberataque?

04/12/2022

A automatização na indústria automóvel abre cada vez mais portas aos ataques por parte de piratas informáticos. A conclusão é dos especialistas da S21sec, que analisou a evolução do cibercrime na indústria ao longo de 2022.

De acordo com esta empresa europeia líder na área da cibersegurança, entre janeiro e setembro deste ano, foi registado um total de 41 ataques de ransomware (um tipo de ataque cujo objetivo é obter acesso a um ou mais computadores para encriptar a informação de um alvo, seja um utilizador ou uma organização, e exigir um resgate em troca da sua devolução), bem como casos de venda de acesso inicial e bases de dados na Deep Web.

Além disso, foi verificado que várias bases de dados de empresas da indústria automóvel foram comprometidas. Esta informação privada constitui um dos pilares fundamentais sobre os quais é mantido o modelo de negócio deste tipo de organizações, uma vez que está relacionada com os produtos e serviços que oferecem e lhes permite diferenciarem-se da concorrência, armazenando informação confidencial sobre planos futuros, os clientes, colaboradores, fornecedores, etc.

“O roubo de dados e posterior aquisição de informação confidencial por terceiros fora da empresa pode causar uma grave crise na mesma e até levar à sua falência. A maioria deste tipo de vendas ocorre principalmente quando os cibercriminosos obtêm acesso às infraestruturas da empresa, quer através de ataques de engenharia social, exploração de vulnerabilidades ou através de agentes infiltrados, pessoal da empresa que fornece informações aos atacantes em troca de uma recompensa, geralmente financeira, embora possam também ser vítimas de extorsão”, afirma Hugo Nunes.

Conclui o referido estudo que, nos últimos tempos, as empresas do setor automóvel posicionaram-se como um dos principais alvos dos hackers, demonstrando um elevado grau de vulnerabilidade a ciberataques.

A explicação está na forte componente económica, associada à aplicação da inovação tecnológica (veículos conectados e autónomos, entre outros), que coloca tanto as empresas como as entidades do setor na mira de agentes maliciosos. Segundo a S21sec, nos próximos meses a atividade criminosa vai crescer contra as empresas deste setor.

“A indústria automóvel está constantemente a implementar as tecnologias mais avançadas com o objetivo de automatizar e racionalizar todos os processos industriais e também incorporar as mais recentes características nos seus produtos. No entanto, a automatização também traz consigo novos riscos no campo da cibersegurança que estas empresas devem ter em conta, acrescenta Hugo Nunes.

Hacker mostra como é possível destrancar e arrancar o seu carro à distância

Tomar consciência de que nenhum automóvel moderno é inviolável é importante. Dependendo do nível de digitalização, o modelo que conduz todos os dias será mais ou menos vulnerável. A única forma de reduzir o risco de ser surpreendido em caso de ataque informático é manter-se informado e alerta. Os carros são computadores móveis sofisticados, equipados com Bluetooth ou Wifi e cada uma dessas conexões representa um alvo potencial.

Sam Curry é o que se denomina de “hacker ético”, um pirata bom, que usa os seus imensos conhecimentos para detetar vulnerabilidades em sistemas e encontrar soluções que permitam antecipar ciberataques. Foi o que aconteceu quando, com a ajuda de outros hackers, encontrou uma falha de segurança que permitia controlar remotamente várias funções de automóveis de mais do que uma marca.

Curry e o seu grupo de piratas abordaram a aplicação para smartphone da Hyundai, monitorizaram o tráfego de rede entre a app e o servidor e, após a sua análise, descobriram que a API (uma interface de programação entre dois serviços) utilizada exigia apenas o endereço de e-mail do proprietário do veículo para verificar a sua identidade. Segundo ponto fraco do sistema, a app permitia a criação de uma conta com um e-mail não verificado.

Desta forma, os especialistas desenvolveram um método capaz de automatizar o seu ataque – uso da API através de um e-mail falsificado. A autenticação do sistema foi frustrada, expondo o código VIN (número de identificação) do carro, possibilitando assim o desencadeamento de ações remotamente. Os hackers conseguiram destrancar e arrancar um Hyundai com esta técnica, tudo filmado para divulgar nas redes sociais.

De acordo com Sam Curry a vulnerabilidade afetava todos os modelos Hyundai e Genesis lançados após 2012, desde que equipados com o sistema SiriusXM, responsável pela telemática nos veículos. Mas, depois de concluída a demonstração, a prioridade foi colaborar com a Hyundai para corrigir essa falha.

“A Hyundai implementou contramedidas poucos dias após a notificação para aumentar ainda mais a segurança de nossos sistemas”, disse um porta-voz da marca sul-coreana, confirmando ainda que “nenhum veículo ou conta de cliente foi alvo de outras pessoas como resultado das questões levantadas pelos pesquisadores”.

Já a SiriusXM, que tem na lista de clientes Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru e Toyota, garantiu que “o problema foi resolvido dentro de 24 horas após o envio do relatório”. “Em nenhum momento algum assinante ou outros dados foram comprometidos, nem nenhuma conta não autorizada foi modificada usando esse método.”, pode ler-se em comunicado.

Proteção contra ataques, existe?

Um relatório recente do Consumer Watchdog confirma que «o problema das tecnologias da indústria é que os sistemas críticos para a segurança destes veículos estão a ser conectados à Internet, sem a segurança adequada e sem a opção de desconectá-los em caso de ataque informático». O perigo existe. Ou seja, através da ligação à Internet, um hacker mal-intencionado pode descobrir o número de telefone do proprietário do veículo, nome, endereço de e-mail e morada; seguir todos os seus itinerários e viagens habituais, controlar várias funções do carro, desde o ar condicionado à eletrónica do sistema de travagem; abrir e fechar portas, ligar ou parar o motor e manipular o funcionamento do sistema de navegação.

Para travar a sua atividade criminosa, existem diferentes certificados que auditam os sistemas de segurança de um veículo, como o ISO/SAE 21434 ou o Regulamento UNECE/R155. Esta norma, que entrou em vigor em janeiro de 2021, determina que todos os veículos homologados a partir de julho de 2022 e todos os que forem vendidos a partir de julho de 2024 tenham certificado de veículo cibersegurança. Certifique-se que o seu carro novo cumpre.