Em uma pesquisa da PCAutomotive apresentada por Danila Parnishchev e Artem Ivachev na Black Hat Europe 2024, os pesquisadores detalharam como cibercriminosos podem explorar diversas falhas nas unidades de infoentretenimento para controlar o microfone do veículo, gravar as pessoas e reproduzir as gravações pelo próprio sistema, extrair dados pessoais, rastrear o carro e sua velocidade via GPS integrado, além de roubar a lista de contatos carregada a partir de um dispositivo conectado. No entanto, por algum motivo, isso parece menos invasivo do que, por exemplo, um ataque a um smartphone que permita ao cibercriminoso rastrear o dispositivo, controlar seu microfone e extrair dados e contatos.

A apresentação, que trazia no título "Comprometimento de veículos modernos", pode criar a expectativa de que você está prestes a ver uma demonstração dramática de um carro atacado que, de repente, para ou desvia sob o controle de cibercriminoso. A ideia de atacar um carro evoca uma imagem visual de catástrofe: um perigo para a vida dos ocupantes e de outras pessoas ao redor. Assim, quando o assunto se limita "apenas" à privacidade e aos dados pessoais, a sensação é de alívio. No entanto, isso não significa que as possíveis implicações para a privacidade devam ser subestimadas.

A mecânica de um ataque

Ao conectar um smartphone pela primeira vez ao sistema de infoentretenimento de um carro, geralmente você tem a opção de carregar e sincronizar seus contatos diretamente. Isso permite acessar facilmente os contatos na tela e fazer chamadas sempre que necessário.

Os pesquisadores descobriram que, ao carregar uma lista de contatos modificada, era possível explorar uma vulnerabilidade do sistema e enviar comandos remotamente, utilizando execução remota de código (RCE).

Depois de acessar o sistema, os criminosos podem controlar alguns elementos e extrair dados. As vulnerabilidades descritas pela equipe na conferência afetavam 1,4 milhão de veículos, mas o mais importante é que as 21 falhas foram corrigidas com atualizações de software fornecidas pelos fabricantes envolvidos.

Dito isso, os problemas de privacidade são graves, assim como as possibilidades de exploração. Imagine um parceiro controlador rastreando sua companheira e acessando seus contatos e outros dados, tudo por meio do sistema de infoentretenimento do carro, sem o conhecimento ou consentimento da vítima. Há também o preocupante aspecto do espionagem: é fácil imaginar como esse tipo de ataque poderia ser explorado para vigilância e coleta de informações em larga escala.

Abordar a evolução com cautela

Títulos como o da apresentação, assim como de outras semelhantes, podem inadvertidamente induzir ao erro e até gerar desconfiança em relação às inovações que deveríamos estar adotando. A indústria automobilística está em plena transformação, e representações exageradas dos riscos podem acabar minando a confiança do público nessas novas tecnologias.

Por exemplo, recentemente tive a experiência de andar em um táxi sem motorista da Waymo em Phoenix, Estados Unidos. Você solicita o carro por meio de um aplicativo, ele para, você entra e, uma vez confortável, aperta o botão para iniciar a viagem: Fui de um hotel até o aeroporto. Fiz o obrigatório e gravei um breve vídeo para compartilhar com amigos e familiares. A resposta comum foi: "Nunca, para mim não. Você se sentiu seguro?"

Tenho certeza de que um psicólogo poderia explicar esses sentimentos em detalhes; para mim, no entanto, trata-se de confiar em um processo regulatório, na avaliação de riscos e nos talentosos engenheiros que o desenvolveram. Os carros da Waymo não são protótipos improvisados; eles foram testados, examinados por reguladores e defensores da segurança, e as seguradoras decidiram que o risco é aceitável, o que não é pouca coisa.

Quando me perguntarem sobre as apresentações que assisti no Black Hat Europe deste ano, não direi que "alguém demonstrou como atacar um veículo". Serei mais preciso e explicarei que "alguém demonstrou como comprometer o sistema de infoentretenimento de um veículo".

Essa distinção é importante. Não devemos incutir medo da tecnologia, mas sim abraçar sua evolução. As falhas e as correções subsequentes fazem parte dessa evolução, e devemos abordar a mudança com um senso de abertura, mas também, admito, com certa cautela.