De acordo com o “Primeiro Estudo sobre Carros Conectados”, a privacidade, as actualizações e as apps dos smartphones para estes carros podem ser três fundamentais vectores de ataque usados por cibercriminosos
A Kaspersky Lab patrocinou o estudo realizado pela IAB Spain, a Associação espanhola que representa o sector da publicidade, marketing e comunicação digital, um trabalho de investigação pioneiro em todo o mundo.
O principal objectivo deste estudo é dar uma perspectiva da situação actual do carro conectado, compilando toda a informação disponível no mercado, respondendo a perguntas frequentes e compreendendo a alta fragmentação existente entre os fabricantes. Vicente Diaz, analista sénior de malware da Kaspersky Lab, foi o responsável por analisar, através de uma prova de conceito, a segurança destes veículos ligados à Internet.
Num carro conectado, não se podem esquecer questões relacionadas com a segurança nas comunicações e serviços derivados da Internet e que se incluem na nova geração de veículos. Não falamos de estacionamento assistido, mas de acesso a redes sociais, email, conectividade com o smartphone, cálculo de rotas, aplicações que são executadas no carro, etc. A inclusão destas tecnologias implica uma série de vantagens, mas também novos riscos que o utilizador não corria até agora. Por esse motivo, é necessário analisar os diferentes vectores que podem provocar um possível ataque ou fraude e até mesmo um incidente no funcionamento do veículo.
A privacidade, as actualizações e as apps dos smartphones para estes carros podem ser três importantes focos de ataque para os cibercriminosos. “Os carros conectados abrem a porta a ameaças que já existiam no mundo do PC e dos smartphones, mas adaptadas a este novo meio. Além disso, a problemática da privacidade dos dados também chega ao segmento do automóvel com gigantes como a Google, que já colonizaram alguns dos modelos presentes no estudo com a sua tecnologia de pesquisas. Os riscos que os utilizadores destes carros conectados podem correr vão desde o roubo de passwords à abertura remota de portas, passando pelo acesso a serviços remoto, localização do carro e inclusive o controlo físico do veículo”, sublinha Diaz.
A prova de conceito realizada pela Kaspersky Lab, com base na análise ao sistema BMW ConnectionDrive em concreto, encontrou diferentes vectores de potenciais ataques:
– Roubo de credenciais: o roubo de credenciais de utilizador para acesso ao portal da BMW, seja através de phishing, keyloggers ou engenharia social, permitiria a um terceiro aceder a informação do utilizador e do veículo. A partir daqui pode-se instalar a aplicação para dispositivos móveis com estas mesmas credenciais que, em caso de ter activados os serviços remotos, poderia permitir activar a abertura de portas, por exemplo.
– Aplicação móvel: em caso de ter os serviços de abertura remota activados o dispositivo móvel transforma-se nas chaves do carro. Se a aplicação não estiver bem protegida, pode ser um vector de ataque em caso de roubo do telefone. Neste caso, parece que é possível modificar a base de dados da aplicação para evitar a autenticação PIN, pelo que um atacante poderia evitá-la e activar os serviços remotos
– Actualizações: o processo de actualização dos drivers bluetooth é feito a partir do download de um ficheiro do website da BMW que posteriormente é instalado no carro através de uma chave USB. Este ficheiro não está encriptado e é possível encontrar dentro do mesmo mucha informação interna do sistema que é executado no veículo. Isto daria a um atacante potencial acesso físico ao carro. Além disso, é também possível modificar a actualização para que execute código malicioso.
– Comunicações: Algumas funções comunicam com o SIM interno do veículo através de SMS. Estas mensagens podem ser decifradas e enviadas por outro remetente, em função da encriptação da operadora. No pior dos casos, é possível substituir a BMW para a comunicação de certos serviços.
O estudo também inclui uma análise à conectividade online e às apps dos principais fabricantes de automóveis em Espanha. O documento aborda, ainda, o modelo de negócio e as futuras tendências no que se refere a plataformas de conectividade existentes no mercado. As principais conclusões, após a análise a 21 modelos de veículos diferentes, foram as seguintes:
- Alta fragmentação de sistemas operativos, modos de conexão e apps.
- Serviços gratuitos durante um tempo limitado: muitos fabricantes oferecem uma subscrição gratuita durante um determinado e limitado período.
- O problema da cobertura: muitos dos serviços online necessitam de cobertura 3G para funcionar com normalidade.
- Consumo de dados: este consumo pode obrigar o utilizador a contratar uma tarifa adicional.
- Assistentes de voz: a maioria dos modelos já os usam, uma vez que é uma das maneiras mais seguras de controlar a conectividade.
O estudo foi elaborado pela IAB Spain em conjunto com a Applicantes, Periodismo do Motor.com, e Kaspersky Lab. O documento pode ser descarregado em através deste link: [button text=”1º Estudo Anual sobre Carros conectados” url=”http://www.iabspain.net/wp-content/uploads/downloads/2014/07/Informe-coches-conectados-2014.pdf” size=”medium” type=”primary” icon=”download” iconcolor=”white” target=”_blank”]
Comentários