Existe atualmente muita discussão na indústria automotiva sobre a ‘internet dos veículos’. Mas como ela pode beneficiar os ladrões?
Existe atualmente muita discussão na indústria automotiva sobre a “internet dos veículos” (IoV, na sigla em inglês).
A IoV é uma rede de carros e outros veículos que podem realizar intercâmbio de dados pela internet, para tentar fazer com que o transporte seja mais autônomo, seguro e eficiente.
A IoV pode ajudar os veículos a identificar bloqueios nas estradas, congestionamentos e pedestres. Ela poderá ajudar a posicionar o carro na rodovia, possivelmente permitir a direção sem motorista e fornecer diagnósticos de falhas mais simples.
Até certo ponto, ela já existe em estradas inteligentes, onde a tecnologia é empregada para gerenciar o tráfego da forma mais eficiente possível.
Os carros já incluem mais sistemas eletrônicos do que nunca, desde câmeras e conexões com telefones celulares até sistemas de informação e entretenimento.
Mas alguns desses sistemas podem também tornar nossos veículos expostos a roubos e ataques mal-intencionados, à medida que os criminosos identificarem e explorarem as vulnerabilidades da nova tecnologia. E, de fato, isso já está acontecendo.
Burlando a segurança
As chaves inteligentes, teoricamente, protegem os veículos modernos contra roubo.
Para poder dirigir o carro, seu proprietário pressiona uma tecla na chave que desliga o sistema imobilizador do veículo (um dispositivo eletrônico que evita que o automóvel seja ligado sem a chave).
Mas uma forma conhecida de burlar este sistema inclui uma ferramenta manual de retransmissão que faz o veículo “pensar” que a chave inteligente está mais próxima do que se encontra na realidade.
É preciso ter duas pessoas trabalhando em conjunto, uma em pé junto ao veículo e outra perto da real localização da chave, como ao lado da casa do proprietário do automóvel. A pessoa perto da casa usa a ferramenta, que pode captar o sinal da chave e retransmiti-lo para o veículo.
Mas existe agora um método mais avançado de ciberataque a veículos que está se tornando cada vez mais comum. Ele é conhecido como “ataque de injeção CAN” (Rede de Área de Controlador, na sigla em inglês) e funciona estabelecendo conexão direta com o sistema de comunicação interna do veículo, o barramento CAN.
O principal caminho para o barramento CAN fica embaixo do veículo. Por isso, os criminosos tentam ganhar acesso através das luzes frontais do carro. É preciso retirar o para-choque para inserir um injetor CAN no sistema do motor.
Os ladrões podem então enviar mensagens falsas para enganar o veículo, que passa a acreditar que estes sinais são da chave inteligente e desliga o sistema imobilizador. E, depois de ganharem acesso ao veículo, eles podem dar a partida e levar o carro embora.
Com a perspectiva de uma possível epidemia de roubos de veículos, os fabricantes estão testando novas formas de eliminar esta nova vulnerabilidade o mais rápido possível.
Uma estratégia consiste em não confiar em nenhuma mensagem recebida pelo carro. Ela é chamada de “abordagem confiança zero”.
Neste sistema, todas as mensagens precisam ser enviadas e verificadas. Uma forma é instalar um módulo de segurança de hardware no veículo, que funciona com a geração de chaves criptográficas, que permitem que os dados sejam criptografados e decifrados, criando e verificando assinaturas digitais nas mensagens.
A indústria automotiva vem instalando cada vez mais este mecanismo nos carros novos. Mas incorporá-lo aos veículos existentes é impraticável por questões de tempo e custo, de forma que muitos dos carros que estão em circulação permanecem vulneráveis ao ataque por injeção de CAN.
Ataques aos sistemas de informação e entretenimento
Outra preocupação de segurança entre os veículos modernos é o sistema de computador de bordo, também chamado de “sistema de informação e entretenimento”.
As possíveis vulnerabilidades deste sistema, muitas vezes, são menosprezadas, embora suas repercussões possam ser catastróficas para o motorista. Um exemplo é a possibilidade de que os invasores executem “códigos remotos” para fornecer códigos maliciosos para o sistema computadorizado do veículo.
Um ataque como este claramente tem o potencial de prejudicar o funcionamento do veículo, causando acidentes.
Esta não é uma simples questão de proteção de dados pessoais contidos no sistema de informação e entretenimento. Ataques desta natureza podem explorar muitas vulnerabilidades, como o navegador de internet do veículo, pendrives conectados via USB e programas que precisam ser atualizados para proteger o sistema contra ataques conhecidos, além de senhas fracas.
Por isso, todos os motoristas de veículos com sistemas de informação e entretenimento devem compreender bem os mecanismos básicos de segurança que podem protegê-los contra os ataques de hackers.
A possibilidade de uma epidemia de roubos de veículos e pedidos de seguro devido aos ataques de CAN é uma perspectiva assustadora.
É preciso haver um equilíbrio entre os benefícios da internet dos veículos, como direção mais segura e maior capacidade de recuperar carros roubados, e seus potenciais riscos.
*Rachael Medhurst é professora e diretora de cursos de cibersegurança da Academia Nacional de Cibersegurança (NCSA) da Universidade do Sul do País de Gales, no Reino Unido.