Um pesquisador em segurança publicou um vídeo no YouTube onde demonstra como um dispositivo feito por ele pode interceptar comunicações sem fio para localizar, destravar e remotamente dar partida em carros da GM usando o aplicativo móvel OnStar RemoteLink.
Samy Kamkar, que refere a si mesmo como hacker e informante, publicou vídeo onde demonstra o uso do seu aparelho que batizou de “OwnStar”. Segundo ele, o dispositivo consegue interceptar comunicações entre a plataforma da GM e o serviço de nuvem OnStar.
A invasão acontece na sequência de outra brecha de segurança encontrada no sistema UConnect Infotainment nos modelos iniciais de veículos Fiats e Chryslers. O ataque ao tal sistema permitiu o controle remoto de funções vitais dos carros, como aceleração, sistemas de ignição, entre outros.
Depois que o ataque veio a público, a Fiat Chrysler Automobiles anunciou o recall de 1.4 milhões de veículos com o objetivo de consertar o software que permitia que invasores quebrassem o sistema.
A National Highway Safety Administration também planeja dedicar atenção ao tema e dois senadores americanos também solicitaram investigação para o recall da Chrysler, que – segundo eles – teria acontecido depois de noves meses que a companhia soube da falha de segurança.
A OnStar é o serviço da GM que oferece segurança, chamadas automáticas, navegação por GPS e diagnóstico remoto.
Já o RemoteLink, é um aplicativo móvel da GM que permite que seus usuários destravem e deem partida em seus carros aonde eles estiverem. A ferramenta também permite ligar os faróis dianteiros, acionar buzina e equipar veículos com Wi-Fi.
De acordo com Kamkar, depois que um usuário abre o aplicativo OnStar Remote Link em seu smarthphone “perto de um dispositivo OwnStar”, este intercepta a comunicação e envia pacotes de dados especialmente criados para dispositivos móveis para adquirir credenciais adicionais.
O dispositivo OwnStar, então, notifica o ataque sobre o novo veículo que o hacker obtém acesso durante tempo indefinido, incluindo sua localização e modelo. A essa altura, o invasor pode usar o app Remote Link e controlá-lo.
“Felizmente, o problema diz respeito ao software mobile e não é um problema do veículo propriamente dito”, disse Kamkar. “GM e OnStar tem até então sido receptivos e já estão trabalhando rapidamente em uma solução para proteger seus clientes”.
Até que a GM ofereça um pacote software, Kamkar sugere que proprietários de veículos OnStar não façam uso do aplicativo RemoteLink.
Em comunicado para a Computerworld, a GM informou que leva “muito seriamente” questões que afetam a segurança de seus clientes.
“Representantes da GM para cibersegurança têm revisado vulnerabilidades em potencial identificadas recentemente. Em trabalho com o pesquisador, nós agimos rapidamente para assegurar nosso sistema back-office e reduzir riscos”, escreveu a companhia. “Entretanto, mais medidas são necessárias para o próprio RemoteLink. Nós levamos todos os assuntos cibernéticos de forma muito séria e uma versão aprimorada do RemoteLink estará disponível nas apps stores em breve para excluir riscos”.
O pesquisador em segurança disse que está providenciando detalhes adicionais sobre o hack para a conferência Def Con, assim como para seu canal no YouTube e seu website.
