O seu próximo carro pode ser hackeado?

A nova onda de tecnologia de dados que está chegando à próxima geração de carros – que inclui desde veículos “semi-auto-dirigíveis” a streaming de dados em tempo real em displays no painel – traz a questão: Eles vão estar seguros contra golpes cibernéticos, ou você terá que instalar software de segurança no seu próximo carro?

Na conferência Black Hat do ano passado, eu assisti uma demo de um hackeamento de carro utilizando wireless, em que os hackers foram capazes de destravar as portas e dar a partida. A equipe que fez a demo informou à companhia desenvolvedora do carro, visando incentivá-la a instalar proteções para impedir que pessoas com más intenções (e tempo livre) façam o mesmo. Mas e se a equipe de hackers decidisse ir para o “Lado Negro” e começasse a destravar carros e levá-los a desmanches?

Tradicionalmente, carros tem sistemas computacionais rudimentares, implementados para executar tarefas fixas como medir o nível de combustível para injeção, tornar a transmissão do câmbio mais suave ou melhorar o uso de combustível – coisas assim.

Mas com alguns fabricantes planejando lançar sistemas embarcados baseados em browser ou com sistemas de geolocalização, poderiam os golpes ir além? Golpes baseados em browser tem uma longa história em plataformas mais tradicionais. Então, com a força computacional exigida para rodar esses novos carros orientados por dados, desencadeando uma leva de computadores embarcados superequipados, eles poderiam se tornar uma nova plataforma de golpes de scam? Como já vimos em recentes golpes relacionados a Java, é fácil imaginar um aplicativo Java penetrando no sistema do carro e fazendo coisas que você não suspeitaria, como enviar seus dados a alguma localização remota (ou algo pior).

Para ser claro, fabricantes de carros costumam testar seus sistemas com um pouco mais de detalhes que uma startup do Vale do Silício competindo por capital de risco, com o lema “lançamento rápido, lucro rápido”. Mas carros costumam ter uma vida útil de 10 anos ou mais, o que faz uma vulnerabilidade de software mais difícil de gerenciar. Recalls de carros são conhecidos por serem caros, e tendem a ter um efeito negativo para a marca em geral, mas o que acontece quando um hack viola um modelo já lançado há vários anos, como no caso da demo apresentada na Black Hat? Enquanto houver um ciclo de atualizações, patches que tenham dado errado tem um efeito muito mais assustador que, por exemplo, a roda do seu mouse parar de funcionar.

Falando em termos gerais, fabricantes de carros parecem estar planejando mais lotes de interfaces de somente leitura que leitura e escrita, onde o carro simplesmente reporta sistemas e informação, então há menos chances de sistemas apresentarem problemas como usuários logando como Administador e instalando alguma coisa. Isso é uma coisa boa. Mas ainda há uma diversidade de tecnologias wireless que podem ser utilizadas para fins escusos relacionados a download de informação.

Teremos software anti-malware para esses carros? Eu penso que é cedo para dizer. Tenho a esperança de que bons projetos possam eliminar essa necessidade. Por outro lado, isso certamente abre novos horizontes para oportunistas que utilizam engenharia social tentem realizar golpes baseados em informações que podem ser obtidas do sistema dos carros. A ideia de ransomware baseados em carros é muito assustadora, seja desabilitando seu carro ou simplesmente tentando. Seria algo enervante.

Com esperanças, fabricantes irão se juntar à comunidade de segurança, para ajudar com análises, recomendações e testes – o que deverá fortalecer nossa segurança contra os hacks de carro. Se isso falhar, você pode encontrar uma motivação a mais para tirar poeira daquele projeto de restauração daquele velho carro e botar um novo gás nele. Pode ser um modelo antigo e sem alta tecnologia, mas você sabe o que esperar dele.

Cameron Camp
Security Researcher - ESET USA