Os investigadores da portuguesa Char49 descobriram um conjunto de vulnerabilidades nas plataformas online da Renault que poderiam colocar utilizadores em risco. Ao SAPO TEK, Paulo Silva, investigador da Char49, explica que o caso da Renault surge no contexto de uma investigação maior às práticas de segurança de mais de uma dezena de fabricantes de automóveis, sendo um trabalho que começou no final de 2023.

Com cada vez mais fabricantes de automóveis a apostarem na introdução de funcionalidades que dependem da ligação de outros sistemas, “por que não ver, de uma forma geral, como é que eles lidam com estas questões de segurança nos sistemas?”, conta o investigador.

A primeira das vulnerabilidades, do tipo Subdomain Takeover, remonta a 2021, como detalha a Char49. “O que nós encontrámos foi que havia um endereço - pma.renault.com - que, na verdade, não tinha lá nenhum site”, explica Paulo Silva.

O investigador explica que uma análise mais aprofundada permitiu perceber que “em algum momento, aquele endereço apontava para um site que era, na verdade, uma plataforma de um fornecedor de serviços”. “Provavelmente, em algum momento, a Renault deixou de usar esse serviço ou o serviço deixou de estar disponível”. No entanto, a fabricante acabou por não remover o endereço em questão.

“O risco é que do ponto de vista de um atacante, este seria um bom candidato para uma campanha de phishing contra utilizadores”, realça Paulo Silva, acrescentando que, caso esta vulnerabilidade fosse explorada, haveria também o risco de atacantes comprometerem outros sistemas da Renault.

Outra das vulnerabilidades encontradas é do tipo Cross-Site Scripting. Esta falha pode ser aproveitada por atacantes em junção com outras vulnerabilidades, incluindo as que envolvem configurações menos ideais de cookies de sessão. 

Ao serem exploradas, as vulnerabilidades de Cross-Site Scripting permitem que os atacantes manipulem sites através da introdução de código JavaScript malicioso, por exemplo, nos parâmetros do URL. O código malicioso é depois executado quando a vítima abre o site. A situação torna-se mais complicada quando os cookies de sessão não estão devidamente configurados.

Como explica Paulo Silva, este tipo de cookie contém um identificador gerado pelos servidores web depois de validar informação de autenticação - o username e password - dos utilizadores ao iniciarem sessão numa plataforma. Quando os cookies de sessão não estão configurados de maneira correta, o código JavaScript malicioso pode lê-los. “É aqui que surge um grande risco para os utilizadores”, realça o investigador.

No caso da Renault, os investigadores encontraram uma loja online, dedicada à venda de artigos da fabricante, que não tinha os cookies bem configurados. “Significava que, se nós encontrássemos neste site alguma vulnerabilidade que permitisse executar JavaScript, conseguiremos ler aqueles cookies”. Ao cair nas mãos erradas, o acesso aos cookies de sessão permitiria que os atacantes conseguissem “fazer ações em nome da vítima”.

Além destas falhas, os investigadores da Char49 depararam-se também com uma vulnerabilidade de User Enumeration, que poderia permitir a um atacante verificar se determinados utilizadores existiam na plataforma afetada, recorrendo a credenciais roubadas para aceder às suas contas.

A Char49 notificou a Renault acerca das falhas de segurança encontradas. A fabricante deu uma resposta rápida no caso da primeira vulnerabilidade, corrigindo-a prontamente. No entanto, o processo não foi tão célere no que toca às restantes. Sem resposta da Renault, os investigadores recorreram ao CERT em França, que serviu como mediador. “Foi assim que conseguimos que as vulnerabilidades fossem corrigidas” pela fabricante, detalha Paulo Silva.