Especialistas demonstram ‘roubo’ de carros por aplicativo remoto

O roubo – seja ele de carros ou de dados pessoais – é um grande problema, e um grupo de especialistas em segurança revelou, no Twitter, que conseguiu fazer os dois ao mesmo tempo, por meio de um aplicativo.

A revelação foi feita por Sam Curry, engenheiro de segurança e “caçador de bugs” a serviço do Yuga Labs. Segundo ele, desde janeiro deste ano, sua equipe vem testando métodos que podem permitir a hackers ganharem acesso às funções de controle de carros controlados por aplicativo remoto – ao mesmo tempo em que também vislumbram as informações pessoais de seus proprietários.

More car hacking!

Earlier this year, we were able to remotely unlock, start, locate, flash, and honk any remotely connected Honda, Nissan, Infiniti, and Acura vehicles, completely unauthorized, knowing only the VIN number of the car.

Here's how we found it, and how it works: pic.twitter.com/ul3A4sT47k

— Sam Curry (@samwcyo) November 30, 2022

A ideia de controlar um carro por aplicativo é uma relativamente nova no Brasil, mas é um setor bastante estabelecido em outros países, como EUA e Canadá. No hemisfério norte, por exemplo, o fim de ano anuncia a chegada do frio e, em lugares com neve, usuários desse recurso costumam ligar seus carros para deixar o motor quente.

As possibilidades são variadas, desde acender faróis, acionar a buzina ou o motor até comandar manobras comuns, como balizas.

Essencialmente, uma falha dentro do sistema da empresa fornecedora da telemática dos aplicativos (SiriusXM) faz com que o método para aproveitar a brecha funcione em várias montadoras – embora cada uma tenha seu próprio app, a telemática, uma parte fundamental do funcionamento de cada um, vem da mesma companhia.

Pense em como uma falha no Android impacta tanto a OneUI da Samsung como a MIUI da Xiaomi e você vai entender…

Para que a falha tenha efeito proveitoso aos hackers, tudo o que eles precisam é do número de identificação do carro (ou “VIN”) no aplicativo. Esse número é único para cada automóvel, mas ele é inscrito no painel de veículos com esse tipo de suporte. Em outras palavras: se os carros estão em um estacionamento, um hacker precisa apenas…olhar pela janela para dentro e torcer para que o filme do vidro seja mais claro?

Por meio de um amigo, dono de um veículo da Nissan com suporte à tecnologia, Curry e sua equipe conseguiram esmiuçar o processo de autenticação, percebendo que ele só “lia” um parâmetro de entrada – o termo “customerId” dentro de uma linha de código na programação do app. 

Ainda no código, eles identificaram outro termo incomum – “nissancust”, seguido do nome e ano do veículo testado. Este termo específico é que viria a ser a (literal e metafórica) chave da análise: durante suas várias tentativas de entrada, os especialistas viram uma resposta HTTP que trazia um formato do VIN bastante similar ao prefixo “nissancust”. Ao inserirem o código de identificação do carro nesta resposta, o app lhes devolveu um token de identificação.

O time então usou este token como um pedido de identificação de usuário e…funcionou: sem precisar de senha, acesso biométrico ou qualquer outra camada extra de segurança, eles conseguiram entrar no aplicativo usado pelo amigo e, a partir daí, ver todo tipo de informação dele: nome completo, número de telefone, endereço, detalhes do carro. Com base nesses dados, eles usaram um exercício da linguagem de programação Python para criar uma base automatizada de inserção de qualquer VIN e, novamente, tiveram sucesso.

Não bastasse a visualização de todos os seus dados, o time também descobriu que o mesmo processo lhes dava comando sobre algumas funções dos carros, acionáveis pelo app: destrancar portas, acender faróis, tocar a buzina e iniciar o motor.

Curry ainda ressaltou que, neste caso, o usuário não precisaria nem mesmo ser um assinante ativo da SiriusXM para que o método funcionasse. Se um dia ele teve um ou mais carros com esse serviço, ele já seria vulnerável.

Imagem: Nissan/Reprodução

Ainda que eles não tenham de fato “roubado” o carro – no sentido de tirar ele do lugar em caráter remoto – a premissa pode incomodar usuários desses veículos: convenhamos, quanto mais tecnologia um automóvel tem, mais caro ele tende a ser, o que indica que seus proprietários pagaram mais por um serviço digital que, essencialmente, está vulnerável com apenas uma olhadinha pela janela.

O time não informou se o método funcionaria com o carro já em movimento – por exemplo, um hacker tomar esse controle depois de você sair com ele – mas a esta altura, apenas de ter seus dados e o seu carro, a situação pede por atenção.

A SiriusXM foi procurada pelo time do Yuga Labs e já disponibilizou um patch de atualização que fecha essa vulnerabilidade.

via TechSpot