MADRID 12 nov. (Portaltic/EP) -
Um grupo de pesquisadores alertou sobre uma vulnerabilidade crítica encontrada em um aplicativo de carro público que permitia o controle remoto de veículos conectados, com a capacidade de realizar ações como mudar de marcha ou até mesmo desligar o motor enquanto o carro está em movimento.
Isso foi anunciado pela empresa de segurança cibernética Kaspersky em seu evento Security Analyst Summit 2025, onde apresentou os resultados de uma auditoria de segurança de um grande fabricante de automóveis, que analisou tanto os utilitários do fabricante quanto a infraestrutura do contratante.
Nesse sentido, a vulnerabilidade de "dia zero" foi encontrada na infraestrutura da empresa contratada, responsável pelo aplicativo vinculado aos carros, o que permitiu que os pesquisadores assumissem o controle do sistema de telemática dos veículos, colocando em risco a segurança de motoristas e passageiros.
Conforme explicado pela Kaspersky, foram detectados vários serviços da Web expostos. Primeiro, os pesquisadores identificaram uma vulnerabilidade de injeção de SQL em um wiki corporativo público (ou seja, um site colaborativo da empresa).
Com o código SQL, usado para bancos de dados, os pesquisadores obtiveram acesso a uma lista de usuários e seus hashes de senha, alguns dos quais foram facilmente quebrados "devido a políticas de segurança frouxas", disse a empresa.
Além disso, esse mesmo acesso serviu como porta de entrada para o sistema de rastreamento de incidentes da empresa contratada. Uma vez lá dentro, os investigadores conseguiram obter informações confidenciais sobre a configuração da infraestrutura telemática do fabricante.
Especificamente, a empresa detalhou que encontrou um arquivo com senhas criptografadas de usuários que tinham acesso a um dos servidores de telemática dos veículos. Isso é relevante porque esses servidores permitem que os dados do veículo, como velocidade e localização, sejam coletados, transmitidos e analisados.
Uma vez que eles tinham essas informações, tudo o que restava era obter acesso aos veículos. Nesse caso, os pesquisadores da Kaspersky descobriram um firewall mal configurado que deixava vários servidores internos expostos e exploraram essa falha usando uma das senhas de conta de serviço obtidas anteriormente para obter acesso ao sistema de arquivos do servidor.
Isso permitiu que eles localizassem as credenciais de outro contratante e, por fim, obtivessem controle sobre a infraestrutura de telemática. Ao mesmo tempo, eles detectaram um comando de atualização de firmware que lhes permitiu carregar um software modificado na Unidade de Controle de Telemática (TCU).
Isso significa que os pesquisadores conseguiram acessar o sistema que interconecta componentes como o motor, os sensores e a transmissão, chamado de barramento CAN (Controller Area Network), para manipular o comportamento do veículo. Além disso, eles continuaram tentando acessar mais componentes e obtiveram o controle de outros sistemas críticos que lhes permitiram manipular funções "essenciais" do veículo, como desligar o motor enquanto o carro estava funcionando, colocando em risco os ocupantes do carro.
FALHAS BASTANTE COMUNS NO SETOR AUTOMOTIVO
Após essa investigação, os especialistas em segurança cibernética esclareceram que as vulnerabilidades detectadas nesses serviços se devem a falhas que são "bastante comuns no setor automotivo", como o uso de serviços públicos da Web, senhas fracas, ausência de autenticação de dois fatores (2FA) e armazenamento de dados confidenciais sem filtragem.
"Esse caso demonstra como uma única violação na infraestrutura de um fornecedor pode levar ao comprometimento total de todos os veículos conectados", disse Artem Zinenko, chefe de pesquisa de vulnerabilidades da Kaspersky ICS CERT.
Portanto, a empresa destacou a necessidade do setor de priorizar práticas de segurança robustas, com ênfase nos sistemas de terceiros em uso.
Com isso em mente, a Kaspersky recomendou que os empreiteiros restrinjam o acesso a serviços da Web via VPN, isolem os serviços públicos do restante da rede corporativa e apliquem políticas mais rígidas de senha e autenticação, entre outras preocupações de segurança.
Por sua vez, os fabricantes devem limitar o acesso à plataforma de telemática a partir da rede do veículo, segundo a empresa, bem como tomar medidas mais específicas, como usar listas de permissões para controlar as interações de rede, desativar a autenticação de senha SSH e garantir a autenticidade dos comandos executados nas TCUs.
Esta notícia foi traduzida por um tradutor automático