Os especialistas em segurança da informação da Pen Test Partners sequestraram um carro - usando seu alarme. Além disso, os sistemas de segurança que os pesquisadores hackearam - Pandora e Viper SmartStart - são amplamente usados: os pesquisadores estimam que cerca de 3 milhões de carros os têm instalados.
Conveniente, mas eles são seguros?
Em teoria, os sistemas antifurto inteligentes são mais do que apenas alarmes. Eles podem ajudar mesmo que o veículo já tenha sido roubado. Por exemplo, eles podem rastreá-lo, desligar o motor e trancar as portas antes que a polícia chegue. E tudo isso é feito através de um aplicativo no seu smartphone. Conveniente? Pode apostar! Seguro? Como afirmam os fabricantes, esses sistemas foram projetados para aumentar a segurança do carro muitas vezes.
Mas agora não é apenas o seu carro que pode ser roubado.
Depois de sequestrar sua conta e fazer login no aplicativo em seu nome, um cibercriminoso ganha acesso a uma massa de dados e todas as funções de alarme inteligente. Uma simples mudança de senha o deixará fora do sistema. O invasor será então capaz de:
Rastreie todos os movimentos do veículo,
Ative e desative o sistema de alarme,
Tranque e destranque as portas do carro,
Ative e desative o imobilizador, uma ferramenta antifurto que impede a partida do motor,
Desligue o motor - em alguns casos, até mesmo com o carro em movimento.
No caso dos alarmes Pandora, o cibercriminoso também pode escutar conversas dentro do veículo por meio do microfone do sistema antifurto, destinado a chamadas de emergência. Lembre-se de que você não pode revidar, porque apenas o invasor tem acesso ao sistema. Não parece muito bom, não é?
Sequestro inteligente em segundos
A equipe de pesquisa descobriu que sequestrar uma conta de usuário de alarme inteligente não só é possível, mas também não é tão difícil. Para roubar uma conta Viper ou Pandora, não há necessidade nem mesmo de comprar o próprio alarme (que pode custar US $ 5.000). Na época do estudo, tudo que alguém precisava fazer para ter acesso ao sistema era registrar uma conta no site ou no aplicativo - e usá-la para obter acesso a qualquer outra conta.
[Mergulhe fundo no mundo da tecnologia e cadastre-se no Avance Network a verdadeira comunidade criptografada]
Os problemas em ambos os sistemas são semelhantes, relacionados à forma como o aplicativo interage com o servidor. O mecanismo de ataque é um pouco diferente. No caso do Viper, o intruso pode alterar as credenciais de qualquer usuário enviando uma solicitação especial ao servidor onde os dados estão armazenados.
O sistema Pandora é um pouco mais criterioso, pois não permite que qualquer pessoa redefina a senha; no entanto, um cibercriminoso pode alterar o endereço de e-mail vinculado ao perfil sem autorização e, em seguida, usar isso para legitimamente (do ponto de vista do sistema) solicitar uma redefinição de senha.
O que fazer?
Primeiro, não entre em pânico. Os pesquisadores, é claro, informaram os fabricantes de suas descobertas. Os fabricantes reagiram rapidamente e fecharam todas as brechas em apenas alguns dias.
Mas antes de o estudo ser realizado, os veículos com alarmes inteligentes eram menos seguros do que aqueles sem. E de forma alguma todos os desenvolvedores de IoT respondem às recomendações dos especialistas em segurança cibernética com a mesma rapidez e eficiência. Portanto, nosso conselho, como sempre, é ter cuidado com as soluções inteligentes, especialmente quando os sistemas de segurança estão em funcionamento.
O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.
