2015/02/02

BMW ConnectedDrive deixava os automóveis em risco


Com cada vez mais produtos ligados à Internet, são também cada vez mais as vulnerabilidades que se vão descobrindo... e onde nem os carros ficam imunes, como aconteceu agora com os BMWs com o Connected Drive.

A ADAC (Associação de Automóveis Alemã) foi convidada pela BMW a avaliar a segurança do seu sistema ConnectedDrive, e aquilo que descobriu não foi animador. Estes veículos ficavam vulneráveis a potenciais ataques, e tudo porque o sistema usava simples ligações HTTP para os comandos - ligações que podiam ser facilmente interceptadas ou falsificadas (como eles demonstraram, criando uma rede celular falsa.)

Felizmente, esta mesma ligação à internet permite que a BMW possa enviar uma actualização "over the air" que corrigirá o problema (na prática, limita-se a passar a utilizar uma ligação HTTPS, que era o que deveria ter sido feito logo desde o início.) É precisamente o tipo de erro que o Google parece querer combater dando maior notoriedade às ligações HTTP não-seguras.

De qualquer forma, mesmo se possa ser confortável pensar que "ninguém se iria dar a todo este trabalho só para poder abrir as portas do carro", se tiverem um BMW com ConnectedDrive não custará irem espreitar para ver se receberam uma actualização. Os modelos em risco são todos os BMW com ConnectedDrive produzidos entre Março de 2010 e 8 de Dezembro de 2014 (e também os Rolls Royce e Mini).

4 comentários:

  1. check! o meu fiat uno já recebeu a atualização! :)

    ResponderEliminar
  2. check! o meu golf da serie 2 também recebeu hoje

    ResponderEliminar
  3. BMW, really?!?!?! Uma coisa tão básica?!
    Até estou curioso se a ligação aceitará SSL ou TLS, convenhamos que mesmo o SSLv3 já é considerado inseguro, tal como o TLS 1.0.
    Fico surpreendido com tamanha falta de sensibilidade para estas questões de segurança, não só neste caso mas em muitos outros.

    ResponderEliminar
    Respostas
    1. Diogo, eles fazem carros, não estão habituados a lidar com estas coisas da net :) :) :) :)

      Eliminar