Falhas em alarmes de carros inteligentes deixaram 3 milhões de veículos vulneráveis a hackers

Dois sistemas inteligentes de alarme para carros têm falhas críticas de segurança que colocam três milhões de veículos em todo o mundo sob o risco de serem hackeados, revela uma pesquisa da Pen Test Partners .

Se exploradas, as vulnerabilidades teriam permitido que qualquer pessoa desligasse o alarme, bem como rastreasse e desbloqueiasse o carro equipado com ele. Em alguns casos, os pesquisadores também foram capazes de bisbilhotar conversas no carro através de um microfone embutido em um dos sistemas de alarme, e até mesmo para ligar o motor do carro ou cortá-lo enquanto o carro estava em movimento.

As falhas afetaram os sistemas de alarme que permitem o controle de carros conectados via aplicativos de smartphone associados e que são feitos por duas empresas – a Pandora, da Rússia, e a Viper, com sede nos Estados Unidos (e com a marca Clifford no Reino Unido). O primeiro até mesmo elogiava seus produtos como “inacessíveis”, de acordo com a Pen Test Partners.

Fácil de encontrar, fácil de corrigir

Os pesquisadores descobriram que as APIs (interfaces de programação de aplicativos) de ambos os aplicativos não autenticaram corretamente algumas solicitações, principalmente as solicitações para alterar a senha ou o endereço de e-mail. Isso abriu o caminho para uma aquisição total de contas.

“Simplesmente interferindo nos parâmetros, é possível atualizar o endereço de e-mail registrado na conta sem autenticação, enviar uma redefinição de senha para o endereço modificado (ou seja, o invasor) e assumir a conta”, escreveram eles. Com a conta em suas mãos, os hackers éticos também foram capazes de assumir o controle do carro ligado à conta.

Além disso, enquanto os pesquisadores realmente compraram os sistemas de alarme por causa de uma “prova completa de conceito”, eles disseram que qualquer um poderia simplesmente configurar uma conta de teste para comprometer uma conta genuína. “Ambos os produtos permitem que qualquer pessoa crie uma conta de teste / demonstração. Com essa conta de demonstração, é possível acessar qualquer conta genuína e recuperar seus dados ”, de acordo com a Pen Test Partners, que chamou as falhas de“ fáceis de encontrar, fáceis de corrigir ”.

As duas empresas reconheceram os bugs arrumaram poucos dias depois de receber alertas dos pesquisadores.

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.