Imprimir

Notícias / Carros & Motos

Hackers desativam alarme de SUV com uso do wi-fi do carro

G1

O alarme de um Mitsubishi Outlander foi desativado remotamente por um hacker que explorou brechas na segurança do wi-fi do carro. A ação é demonstrada em vídeo no YouTube e a falha foi informada pelo especialista em segurança à montadora no início do mês, no Reino Unido.

A fabricante recomendou que os usuários desliguem o wi-fi quando não estiverem no carro, enquanto investiga o caso. A experiência foi feita na versão PHEV, híbrida (com motor elétrico combinado com outro a combustão), do SUV.

Como a falha foi descoberta
Tudo começou quando o especialista Ken Munro percebeu que uma rede wi-fi estranha apareceu em seu smartphone.

Ele verificou que aquele ponto era do wi-fi doOutlander de um amigo, que mostrou a ele o aplicativo associado ao sistema e como, por meio desse um app, era possível controlar algumas funções do veículo remotamente.

Munro começou a explorar o app e percebeu que era vulnerável. Ele, então, comprou um Outlander e passou a investigar como o app se comunica com o carro.

Diferente, mas inseguro
Muitas montadoras permitem que, por meio de apps, usuários possam trancar o carro ou controlar algumas funções à distância. Os comandos, normalmente, passam por servidores  a web que são da própria montadora ou de seus provedores de serviço antes de serem enviados ao carro por meio da rede móvel (GSM, no caso).

O app da Mitsubishi, diferentemente, só se comunica por o carro por meio da rede wi-fi do próprio veículo. Apesar de ser uma solução mais barata, que dispensa, por exemplo, contratar servidores ou pagar pelo uso da rede móvel, ela é pouco vantajosa porque o acesso só é possível dentro da área de alcance desse wi-fi. Pior, diz Munro, o sistema não é seguro.

Em seu site, o especialista descreveu como fácil invadir o wi-fi. O especialista e seus colegas na Pen Test Partners conduziram a experiência como se não tivessem acesso do SUV.

Alarme, farol e bateria hackeados
Ao invadir o sistema, o time conseguiu fazer o veículo piscar faróis, alterou configurações e ligou o ar-condicionado, esgotando a bateria. Posteriormente, Munro descobriu que era possível até desligar o alarme à distância.

"Então, entramos no carro, com o mínimo de movimentação e o trancamos. Depois eu agitei os meus braços e ficou claro que o alarme não estava funcionando", descreveu o hacker. "Eu pude, então, destravar o carro pela maçaneta, sem que o alarme fosse acionado."

Munro demonstrou a vulnerabilidade do veículo no último dia 3. "A Mitsubishi tem sido atenciosa conosco. Eles estão levando esse caso muito a sério", elogiou.

"A Mitsubishi precisa refazer completamente o sistema de conexão do cliente com o wi-fi. Usar um módulo GSM com servidor web seria o melhor método a longo prazo, como no BMW Connected Drive (sistema de conectividade da marca alemã)", recomendou o especialista.

Outros hackers já demonstraram a vulnerabilidade de carros como o Jeep Cherokee, o Tesla Model S e o Nissan Leaf. O caso do Cherokee foi um dos mais chamativos porque os especialistas conseguiram, remotamente, controlar a aceleração do veículo. O caso levou a Fiat Chrysler, dona da Jeep, a convocal um recall do sistema UConnect, em versões que possuem wi-fi, no ano passado.
Imprimir