Os especialistas em segurança da informação da Pen Test Partners conseguiram sequestrar um carro ao burlar o alarme do veículo. Além do feito em si, o que torna a situação mais complexa é que os sistemas Pandora e Viper SmartStart estão entre os mais utilizados. Estima-se que estão instalados em 3 milhões de carros.
Conveniente, mas são realmente seguros?
Em teoria, os sistemas antirroubo inteligentes são muito mais que alarmes. Eles podem fornecer assistência, mesmo que o veículo já tenha sido roubado. Por exemplo, por meio de um aplicativo em seu smartphone, você pode rastreá-lo, desconectar o mecanismo e trancar as portas antes que a polícia chegue. Esta funcionalidade é muito conveniente, certo? Além disso, de acordo com os fabricantes, melhora consideravelmente a segurança do carro.
O problema é que eles podem roubar não apenas o seu carro.
Depois de invadir sua conta e efetuar login no aplicativo, um cibercriminoso consegue acessar a uma grande quantidade de dados e todas as funcionalidades que controlam o alarme inteligente, é fato que apenas a mudança da senha já o deixa fora do sistema. Ele pode executar as seguintes ações:
- Monitorar os movimentos do veículo.
- Ativar e desativar o sistema de alarme.
- Bloquear e desbloquear as portas.
- Ligar e desligar a funcionalidade de imobilizar o veículo, uma ferramenta antirroubo que evitar o funcionamento do motor.
- Desconectar o motor, inclusive com o carro em movimento.
No caso dos alarmes de Pandora, o cibercriminoso pode até ouvir conversas que acontecem no interior do veículo com o sistema de microfone antifurto, projetado para chamadas de emergência. De qualquer forma, lembre-se que após o golpista tomar o controle do sistema, você não pode fazer nada. Não parece mais tão bom, certo?
Sequestro inteligente em apenas alguns segundos
Os pesquisadores descobriram que não apenas é possível sequestrar a conta do usuário, como também simples. Para roubar uma conta Viper ou Pandora, você nem precisa comprar o alarme (cerca de U$ 5 mil). No momento em que o estudo foi desenvolvido, bastou o registro de uma conta no site ou aplicativo para acessar o sistema, e depois substituir as credenciais pelas roubadas.
Os problemas são semelhantes nos dois sistemas, dependendo da maneira como o aplicativo interage com o servidor, mas o mecanismo de ataque é um pouco diferente. No caso do Viper, o intruso pode alterar as credenciais de qualquer usuário simplesmente enviando uma solicitação especial para o servidor onde os dados são armazenados.
O sistema Pandora é um pouco mais exigente com relação a essa brecha, e não permite que ninguém restaure a senha “sem autorização”. No entanto, um cibercriminoso pode alterar o endereço de e-mail vinculado ao perfil sem autorização e usá-lo para solicitar a restauração da senha de maneira legítima (do ponto de vista do sistema).
O que fazer?
Em primeiro lugar, não se desespere. Evidentemente, os pesquisadores informaram os fabricantes, que reagiram rapidamente e resolveram todos os problemas em poucos dias.
Mas antes do estudo, os veículos com alarmes inteligentes eram menos seguros. Além disso, nem todos os desenvolvedores de IoT respondem às recomendações de especialistas em cibersegurança de forma tão rápida e eficientemente. Portanto, aconselhamos que você seja mais cauteloso do que nunca com soluções inteligentes, especialmente quando se trata de sistemas de segurança.