Em vídeo, hacker mostra como conseguiu controlar remotamente um carro da GM
No seu canal do YouTube, Samy Kamkar demonstra como um dispositivo feito por ele pode interceptar facilmente as funções vitais de um veículo.

Um pesquisador em segurança publicou um vídeo no YouTube onde demonstra como um dispositivo feito por ele pode interceptar comunicações sem fio para localizar, destravar e remotamente dar partida em carros da GM usando o aplicativo móvel OnStar RemoteLink.

Samy Kamkar, que refere a si mesmo como hacker e informante, publicou vídeo onde demonstra o uso do seu aparelho que batizou de “OwnStar”. Segundo ele, o dispositivo consegue interceptar comunicações entre a plataforma da GM e o serviço de nuvem OnStar.

A invasão acontece na sequência de outra brecha de segurança encontrada no sistema UConnect Infotainment nos modelos iniciais de veículos Fiats e Chryslers. O ataque ao tal sistema permitiu o controle remoto de funções vitais dos carros, como aceleração, sistemas de ignição, entre outros.

Depois que o ataque veio a público, a Fiat Chrysler Automobiles anunciou o recall de 1.4 milhões de veículos com o objetivo de consertar o software que permitia que invasores quebrassem o sistema.

A National Highway Safety Administration também planeja dedicar atenção ao tema e dois senadores americanos também solicitaram investigação para o recall da Chrysler, que – segundo eles – teria acontecido depois de noves meses que a companhia soube da falha de segurança.

A OnStar é o serviço da GM que oferece segurança, chamadas automáticas, navegação  por GPS e diagnóstico remoto.

Já o RemoteLink, é um aplicativo móvel da GM que permite que seus usuários destravem e deem partida em seus carros aonde eles estiverem. A ferramenta também permite ligar os faróis dianteiros, acionar buzina e equipar veículos com Wi-Fi.

De acordo com Kamkar, depois que um usuário abre o aplicativo OnStar Remote Link em seu smarthphone “perto de um dispositivo OwnStar”, este intercepta a comunicação e envia pacotes de dados especialmente criados para dispositivos móveis para adquirir credenciais adicionais.

O dispositivo OwnStar, então, notifica o ataque sobre o novo veículo que o hacker obtém acesso durante tempo indefinido, incluindo sua localização e modelo. A essa altura, o invasor pode usar o app Remote Link e controlá-lo.

“Felizmente, o problema diz respeito ao software mobile e não é um problema do veículo propriamente dito”, disse Kamkar. “GM e OnStar tem até então sido receptivos e já estão trabalhando rapidamente em uma solução para proteger seus clientes”.

Até que a GM ofereça um pacote software, Kamkar sugere que proprietários de veículos OnStar não façam uso do aplicativo RemoteLink.

Em comunicado para a Computerworld, a GM  informou que leva “muito seriamente” questões que afetam a segurança de seus clientes.

“Representantes da GM para cibersegurança têm revisado vulnerabilidades em potencial identificadas recentemente. Em trabalho com o pesquisador, nós agimos rapidamente para assegurar nosso sistema back-office e reduzir riscos”, escreveu a companhia. “Entretanto, mais medidas são necessárias para o próprio RemoteLink. Nós levamos todos os assuntos cibernéticos de forma muito séria e uma versão aprimorada do RemoteLink estará disponível nas apps stores em breve para excluir riscos”.

O pesquisador em segurança disse que está providenciando detalhes adicionais sobre o hack para a conferência Def Con, assim como para seu canal no YouTube e seu website.