IoT - Vulnerabilidade em app da Hyundai permitia controlar carros remotamente
Vulnerabilidade em app da Hyundai permitia controlar carros remotamente
Brecha de segurança já foi reparada com atualização do aplicativo. Montadora informou que nenhum cliente foi afetado
Autor da Foto
A vulnerabilidade foi reparada na última versão do aplicativo para smartphones em março, mas foi revelada publicamente apenas nesta semana. Ela foi descoberta pelos pesquisadores independentes William Hatzer e Arjun Kumar quando analisaram o recurso MyHyundai com o app Blue Link.
O Blue Link é uma tecnologia baseada em assinatura que está disponível para muitos modelos da fabricante fabricados depois de 2012. Ele permite muitos proprietários a localizarem remotamente seus veículos em caso de roubo, destravar remotamente caso eles percam suas chaves e até mesmo iniciar o veículo ou parar seus motores quando estacionados.
Os pesquisadores descobriram que a partir da versão 3.9.4 do aplicativo, lançada no início de dezembro, a Hyundai adicionou um recurso para carregar um arquivo log em um servidor remoto. A conexão com o servidor não foi criptografada com HTTPS, mas a Hyundai tentou proteger os dados de log criptografando-os com uma chave estática compartilhada por todos os usuários.
O problema é que esta chave é codificada dentro da aplicação, para que qualquer pessoa possa fazer o download da mesma, localizar a chave e extraí-la. Isso permite um hacker, que se encontre em uma posição privilegiada para interceptar o tráfego de um celular, intercepte e descriptografe os dados de log do app.
O registro do aplicativo contém informações confidenciais, como o nome de usuário, a senha e o PIN do proprietário do carro, bem como dados de GPS que podem revelar o histórico de localização do carro.
Ataques do tipo man-in-the-middle podem ser executados em redes sem fio inseguras, através de roteadores comprometidos, ou até mesmo acima na cadeia de rede, se o invasor ganhar visibilidade no nível ISP.
Hatzer e Kumar trabalharam com a empresa de segurança Rapid7 para coordenar a divulgação de vulnerabilidade com a Hyundai, a equipe de resposta de emergência cibernética dos Sistemas de Controle Industrial do Departamento de Segurança Interna dos Estados Unidos (ICS-CERT) e o Centro de Coordenação CERT da Carnegie Mellon University.
A Hyundai corrigiu a falha na versão 3.9.6 de seu aplicativo Blue Link para Android e iOS. A empresa disse à Rapid7 que após investigação concluiu que nenhum cliente seu foi afetado por este problema. A montadora é membro do Centro de Análise e Compartilhamento de Informações Automotivas (Auto-ISAC), um grupo industrial que compartilha informações sobre ameaças à segurança cibernética e melhores práticas.
Houve alguns progressos na cibersegurança automotiva nos últimos anos, com vários fabricantes lançando programas de recompensas de bugs e mostrando sua disposição de colaborar com pesquisadores de segurança. No entanto, levará algum tempo até que esses esforços comecem a ter um impacto significativo sobre a qualidade do software relacionado com o carro.
Em certa medida, isso é compreensível, porque as empresas de automóveis são relativamente novas para o desenvolvimento de software. Grandes fornecedores de software como a Microsoft, Adobe e Oracle ainda estão encontrando e corrigindo dúzias de falhas de segurança em seus produtos a cada mês, por isso não é surpreendente que o software do carro ou aplicativos móveis acompanhantes também tenham vulnerabilidades.
Há uma certa urgência, porém, porque em comparação com os computadores, os carros são uma ameaça maior para a segurança humana. E, infelizmente, as falhas que estão sendo descobertas no software dos carros são frequentemente questões básicas de segurança que poderiam facilmente ser evitadas seguindo princípios bem conhecidos do desenvolvimento seguro.
Fazer carros "mais inteligentes" adicionando conectividade e características remotamente acessíveis podem certamente melhorar a experiência de um proprietário do carro, mas igualmente aumenta a superfície de ataques.
É possível que muitas dessas funções sejam devidamente protegidas a tempo se os fabricantes continuarem a cuidar seriamente da segurança cibernética, mas por agora, parece mais provável que, se um carro tiver recursos de controle remoto, há um bug explorável em algum lugar na implementação.
