Uma nova investigação revelou vulnerabilidades críticas nas APIs de múltiplas marcas populares de automóveis. Caso fossem exploradas, as falhas de segurança permitiam aos cibercriminosos roubar informação sensível, rastrear a localização de automóveis em tempo real e até desbloqueá-los à distância.

Segundo Sam Curry, investigador de segurança, entre as marcas afetadas pelas vulnerabilidades incluem-se BMW, Mercedes-Benz, Ferrari, Rolls Royce, Porsche, Toyota, Jaguar e Land Rover, assim como Nissan, Hyundai, Honda, Kia, Infiniti, Acura e Genesis.

O investigador e a sua equipa encontraram ainda falhas de segurança em soluções tecnológicas para automóveis desenvolvidas pela Spireon e Reviver e no serviço de streaming SiriusXM.

Por exemplo, no caso das APIs da BMW e Mercedes-Benz, os investigadores detalham que ambas continham falhas de segurança nas funcionalidades de Single-Sign-On (SSO) que poderiam dar acesso aos sistemas internos das fabricantes de automóveis, a instâncias no GitHub e da Amazon Web Services e até a servidores e plataformas de mensagens privadas das empresas.

À semelhança da BMW e a Mercedes-Benz, o caso da Ferrari enquadra-se também entre os mais preocupantes. As falhas de segurança nas funcionalidades SSO permitiam aos cibercriminosos aceder a qualquer conta de um cliente da marca e fazer modificações ou eliminá-las.

Mais de metade das apps não-oficiais para automóveis utilizam dados pessoais sem permissão
Mais de metade das apps não-oficiais para automóveis utilizam dados pessoais sem permissão
Ver artigo

Já as falhas encontradas no sistema telemático da Porsche e nas soluções de GPS da Spireon davam aos atacantes a possibilidade de rastrear a localização dos automóveis. No caso da Spireon, as vulnerabilidades permitiam desbloquear e ligar os veículos remotamente. As falhas encontradas no sistema de matrículas digitais da Reviver abriam a porta a dados de GPS e a registos de utilizadores.

De acordo com os especialistas, as vulnerabilidades já foram corrigidas, no entanto, é importante que os donos de automóveis destas marcas tomem medidas para reforçar a segurança.

Em declarações ao website Bleeping Computer, Sam Curry realça que é fundamental usar passwords fortes e ativar a autenticação de dois fatores nas aplicações e serviços associados aos automóveis. O especialista acrescenta que quem está a planear comprar um carro em segunda mão deve assegurar-se de que a conta do dono anterior foi devidamente removida para evitar incidentes de segurança.