Indústrias de carros viram alvo de ataques cibernéticos e roubo de dadosMais de metade dos apps não oficiais para carros usam dados sem permissão
Em uma das falhas de segurança, os pesquisadores em cibersegurança da Yuga Labs descobriram que o software usa o e-mail do dono do carro como único validador, sem nem mesmo uma verificação adicional via caixa de entrada. Assim, sabendo o contato, qualquer um poderia criar uma conta em nome de um proprietário de um Hyundai, abrindo as portas para a segunda parte da exploração, um pouco mais complexa, mas não para quem souber o que está fazendo. Enquanto os detalhes técnicos não foram divulgados, os especialistas apontam que, na sequência, bastaria o envio de uma solicitação HTTP manipulada a partir de um script programado em Python, com os dados fraudados e o endereço interceptado, para que o controle fosse dado. Além de abrir e ligar o carro, também seria possível o desligar à distância e acessar informações de telemetria. É o tipo de ataque que exige uma programação, mas como demonstrado, basta que um atacante faça isso uma vez e compartilhe a ferramenta para que até mesmo indivíduos não tão especializados sejam capazes de atingir os usuários.
Segundo a Yuga Labs, todos os modelos de veículos fabricados a partir de 2012 e que contem com a integração ao aplicativo MyHyundai podem ser suscetíveis à exploração. Uma falha semelhante também foi encontrada nos aplicativos ligados a carros da montadora Genesis. Como se trata de uma divisão da própria Hyundai, eles compartilham a mesma tecnologia e, com isso, também veio a brecha de segurança. Em comunicado oficial à imprensa internacional, a montadora afirmou já ter lançado uma correção para o problema. Além disso, a empresa afirmou não existirem indícios de que o ataque tenha sido realizado além da esfera dos testes de segurança, agradecendo aos especialistas pela notificação. Ainda, a Hyundai evidenciou a complexidade dos golpes, que envolvem programações específicas e, também, a necessidade de os bandidos conhecerem os e-mails dos donos de carros a serem atingidos.
Sistema de telemetria permitia roubo de dados dos donos de veículos
Um segundo relatório, também lançado sem detalhes técnicos pelo Yuga Labs como forma de evitar explorações, detalha falhas semelhantes no sistema SiriusXM. A plataforma de telemetria e entretenimento também possui aplicativos que possibilitam o controle e monitoramento remoto de veículos, igualmente permitindo explorações por indivíduos mal-intencionados em busca dos dados dos proprietários. Os testes foram realizados em carros da Nissan, mas os especialistas apontam que os problemas também podem aparecer em veículos da Honda, Land Rover, Toyota, BMW e a própria Hyundai, entre outros, lançados a partir de 2015. Para abusar da brecha, bastaria que um criminoso obtivesse o número de identificação do automóvel, normalmente visível no para-brisa, para que solicitações HTTP forjadas fossem enviadas. O retorno do servidor, caso os pedidos sejam feitos da forma correta, traz os dados do dono do carro. A exploração pode revelar informações como nomes, números de telefone, e-mail, endereços e detalhes do veículo, enquanto programações adicionais também poderiam permitir o monitoramento e controle remoto dos automóveis. Em resposta, a SiriusXM informou que o problema já foi solucionado e que não existem sinais de que a brecha foi explorada maliciosamente. A empresa também agradeceu aos pesquisadores em segurança e indicou seus programas de bug bounty como caminho para quem localizar novas falhas em suas plataformas.
Hyundai envia posicionamento
A própria Hyundai entrou em contato com o Canaltech para falar sobre o problema. Abaixo está o posicionamento da montadora. Fonte: Bleeping Computer No entanto, a Hyundai e a Genesis implementaram contramedidas dias após a notificação para aumentar ainda mais a segurança de nossos sistemas. Separadamente, Hyundai e Genesis não foram afetados por uma falha de autorização do Sirius XM que foi divulgada recentemente. Valorizamos nossa colaboração com pesquisadores de segurança e agradecemos a assistência desta equipe.