Pesquisadores de segurança cibernética descobriram várias vulnerabilidades nas unidades de infotainment de alguns carros da Skoda que podem permitir que agentes mal-intencionados controlem remotamente certas funções e rastreiem a localização dos veículos em tempo real.
A empresa PCAutomotive, especializada em cibersegurança automotiva, revelou 12 novas vulnerabilidades no modelo mais recente do Skoda Superb III sedan durante o evento Black Hat Europe desta semana. Essas descobertas surgem um ano após a mesma organização divulgar nove falhas semelhantes no mesmo modelo. A Skoda é uma marca da gigante alemã Volkswagen.
Segundo Danila Parnishchev, chefe de avaliação de segurança da PCAutomotive, as vulnerabilidades podem ser combinadas e exploradas por hackers para injetar malwares nos veículos. Para explorar as falhas, um atacante precisaria se conectar à unidade de mídia do Superb III via Bluetooth, podendo realizar o ataque a uma distância de até 10 metros sem necessidade de autenticação, explicou Parnishchev.
As falhas, encontradas na unidade de infotainment MIB3, permitem que os invasores executem códigos maliciosos sempre que a unidade é iniciada. Isso pode possibilitar:
Obtenção de coordenadas GPS e dados de velocidade do veículo em tempo real;
Gravação de conversas por meio do microfone interno do carro;
Captura de imagens da tela de infotainment;
Reprodução de sons arbitrários no veículo.
Além disso, as vulnerabilidades também possibilitam que os invasores extraiam a base de contatos telefônicos do proprietário do veículo, caso a sincronização de contatos esteja habilitada. Segundo Parnishchev, essa base de dados é armazenada em texto simples, sem criptografia, o que facilita a exploração.
No entanto, os pesquisadores não encontraram formas de contornar as restrições do gateway da rede interna do veículo para acessar controles críticos de segurança, como o volante, os freios e o acelerador.
De acordo com a pesquisa da PCAutomotive, as unidades vulneráveis MIB3 são usadas em diversos modelos da Volkswagen e Skoda. Com base em dados públicos de vendas, estima-se que mais de 1,4 milhão de veículos possam estar vulneráveis. Esse número pode ser ainda maior considerando o mercado de componentes usados, onde peças que não foram apagadas pelos proprietários anteriores podem conter informações pessoais.
A Volkswagen corrigiu as vulnerabilidades relatadas por meio de seu programa de divulgação de segurança cibernética.
Em comunicado o porta-voz da Skoda, Tom Drechsler, afirmou: “As vulnerabilidades relatadas no sistema de infotainment foram e estão sendo abordadas e eliminadas por meio de um processo contínuo de melhorias ao longo do ciclo de vida de nossos produtos. Em nenhum momento houve ou há perigo para a segurança de nossos clientes ou veículos.”
Via - TC
Comments