Com os carros a tornarem-se em "computadores com rodas", não só ganham muitas das capacidades tecnológicas que apreciamos, mas também os indesejáveis bugs e vulnerabilidades que poderão resultar em desespero para os utilizadores / clientes.
Desta vez calhou à Hyundai, com investigadores a terem descoberto falhas preocupantes, afectando modelos fabricados a partir de 2012. Uma análise à API de comunicação entre a app da Hyundai e o carro revelou várias falhas, bastando o endereço de email do utilizador associado ao carro para se poderem enviar comandos remotos, incluindo destrancar e trancar as portas, tocar a buzina, fazer piscar os faróis, e até ligar o motor.
A vulnerabilidade expandia-se também à plataforma da SiriusXM, empresa de rádio via satélite que é popular nos EUA, em que basta saber o número VIN de um automóvel (que é visível na maioria dos automóveis) para se poder recolher informação sobre o dono, incluindo o nome, telefone e morada - além das operações acima mencionadas. E neste caso a falha é mais abrangente, afectado veículos da BMW, Honda, Nissan, Toyota, e outras, que usam os serviços de gestão remota desta plataforma.Since exploiting this involved many steps, we took all of the requests necessary to exploit this and put it into a python script which only needed the victim's email address. After inputting this, you could then execute all commands on the vehicle and takeover the actual account. pic.twitter.com/Bz5G5ZvHro
— Sam Curry (@samwcyo) November 29, 2022
Tanto a Hyundai como a SiriusXM efectuaram as devidas correcções depois de serem contactados pelos investigadores, mas não deixa de ser preocupante que a Hyundai tenha tentado desvalorizar o assunto, dizendo que não tem indícios que a "suposta vulnerabilidade" tenha sido usada por qualquer atacante (além dos investigadores), e que seria preciso ter os scripts usados pelos investigadores para se poder realizar este tipo de ataque! (Faz-me desejar ter o emoji do "facepalm" disponível.)
Do lado da SiriusXM a resposta também refere não ter sido detectado qualquer tipo de ataque, mas tomando uma posição mais humilde que se foca na rapidez de resposta, tendo efectuado as correcções necessárias num prazo de 24 horas após terem sido contactados.
Sem comentários:
Enviar um comentário (problemas a comentar?)