Um adolescente alemão de 19 anos invadiu com sucesso os sistemas de vários carros da Tesla, fabricante de carros elétricos do bilionário Elon Musk. O hacker, que costuma caçar vulnerabilidades do sistema, twittou como explorou vulnerabilidades em aplicativos de terceiros (fora do ecossistema da Tesla) ligados ao software da montadora, alegando atingir 20 pessoas em 13 países diferentes.
A violação de segurança afetou dezenas de marcas de veículos. Modelo não especificado. De acordo com o jovem David Colombo, as portas da Tesla podem ser destrancadas remotamente – sem ter que se aproximar do carro ou usar uma chave, ou sem abrir janelas, acender faróis ou até tocar música.
Recursos como tomar decisões de direção enquanto o motorista está dirigindo, como acelerar ou desacelerar o carro, permanecem fora do escopo da vulnerabilidade. Mas se o carro estiver parado, ele pode controlar o piloto automático.
Perigo vai além da Tesla
O adolescente já havia tentado negociar com a própria Tesla em uma série de tweets para Elon Musk. A empresa chegou a oferecer US$ 15 mil, mas o jovem não aceitou o negócio, alegando que o departamento de segurança da Apple pagou 13 vezes mais ao anunciar a vulnerabilidade – uma troca comum no mundo dos caçadores de bugs do sistema.
Columbus então enviou um relatório sobre as vulnerabilidades que encontrou para a Mitre, a empresa do governo dos EUA que documentou as vulnerabilidades do programa. Ela está fazendo a triagem de falhas na lista Common Vulnerabilities and Exploits (CVE).
A conquista do jovem provocou um alerta de que os sistemas de veículos elétricos podem ser explorados para fins maliciosos. Tais preocupações são exacerbadas quando outras montadoras como Audi, Mercedes-Benz, Hyundai, Kia e até fabricantes de smartphones como Xiaomi e Apple intensificam seus investimentos no espaço de carros autônomos. Afinal, os ataques cibercriminosos vieram para ficar. Que estratégias de segurança essas empresas empregarão para minimizar o risco? Isso é algo para ficar de olho.
Dados em mãos erradas
A invasão de Tesla nos lembra de como nossa tecnologia cotidiana mudou nos últimos anos: assim como nós, humanos, produzimos dados (por exemplo, preferências alimentares, onde moramos, quão bem estamos), carros e outros produtos automatizados também produzem – muito.
Isso abre um precedente para ataques cibernéticos, pois objetos e ferramentas coletam dados e se digitalizam, onde as informações coletadas são usadas para outros fins. Quando um carro ou qualquer outro dispositivo que armazena detalhes de uso pode revelar informações confidenciais, isso pode ser aplicado a ataques mais direcionados – por exemplo, seqüestro de um carro autônomo.
Não são apenas os hackers que podem usar mais dados do que precisam. Também na Alemanha, as autoridades de segurança usam informações de aplicativos de controle da covid-19 para encontrar testemunhas de crimes. A decisão gerou polêmica, com protestos públicos contra a violação da privacidade de quem usa o sistema.