A Falha de Segurança da Kia Permite que Hackers Assumam o Controle de Veículos Usando Placas de Licença

Uma investigação recente descobriu uma vulnerabilidade de segurança nos sistemas conectados à internet da Kia, expondo milhões de veículos a possíveis ataques de hackers.

Pesquisadores de segurança independentes descobriram que, ao possuir a placa de um veículo da Kia, poderiam invadir o carro e obter controle não autorizado sobre funções essenciais, como destravar as portas, rastrear a localização e até mesmo ligar a ignição – em apenas alguns segundos.

Os pesquisadores, que anteriormente identificaram vulnerabilidades semelhantes em várias montadoras, alertaram a Kia sobre essa questão em junho. Embora a empresa tenha implementado uma correção, parece que o problema não foi totalmente resolvido.

“Quanto mais investigamos isso, mais ficou muito óbvio que a segurança na web para veículos é muito fraca”, disse Neiko Rivera, um dos pesquisadores envolvidos na descoberta, conforme relatado por WIRED.

Durante a investigação, os pesquisadores encontraram uma vulnerabilidade em um portal da web operado pela Kia. Essa falha permitiu-lhes assumir o controle das funcionalidades conectadas à internet na maioria dos veículos modernos da Kia.

Os modelos afetados representam milhões de carros nas estradas. Ao explorar essa vulnerabilidade, os pesquisadores poderiam transferir o controle do smartphone do proprietário do veículo para seus próprios dispositivos.

De acordo com Sam Curry, outro membro da equipe de pesquisa, essa falha poderia permitir que um hacker monitorasse os movimentos de uma pessoa.

“Se alguém te cortasse no trânsito, você poderia escanear a placa do carro deles e então saber onde eles estavam sempre que quisesse e invadir o carro deles”, disse Curry à WIRED.

“Se não tivéssemos chamado a atenção da Kia para isso, qualquer pessoa que pudesse consultar a placa de alguém poderia essencialmente persegui-los.”

Os pesquisadores testaram seu método em vários veículos Kia, incluindo alugados e carros em concessionárias, confirmando sua eficácia de forma geral.

Para ilustrar a facilidade com que essas vulnerabilidades poderiam ser exploradas, os pesquisadores criaram um painel de controle fácil de usar.

Essa ferramenta permitiu aos usuários inserir um número de placa de carro e recuperar as informações pessoais do proprietário, demonstrando como um invasor poderia assumir o controle de um veículo e exercer controle.

O painel incluía um formulário que convertia o número da placa do carro no número de identificação do veículo (VIN). Um botão “Assumir controle” executava uma série de etapas para obter acesso ao veículo.

Adicionalmente, outro botão exibia as informações pessoais do proprietário. Finalmente, uma aba “Garagem” permitiu ao atacante executar comandos nos veículos comprometidos.

A WIRED destaca que as numerosas vulnerabilidades nos sites dos fabricantes de automóveis, que permitem o controle remoto dos veículos, derivam de uma tentativa de atrair consumidores com recursos habilitados para smartphones.

Stefan Savage, professor de ciência da computação na UC San Diego, enfatiza que a integração dessas funcionalidades aumenta os riscos de segurança, conforme observado pela WIRED.