No começo de agosto, a Revista Wired publicou um artigo intitulado ‘Hackers pararam remotamente meu jipe na estrada – comigo dentro’ detalhando a ação experimental de dois hackers, Charlie Miller e Chris Valasek. Nas palavras do jornalista, Andy Greenberg, ele havia concordado em fazer parte dessa aventura como ‘boneco de testes para uma colisão digital’.
Os hackers conseguiram controlar remotamente muitas funções importantes do jipe, incluindo frenagem, transmissão e aceleração, além do limpador de para-brisas, ar-condicionado e rádio. Claro que a ameaça parece muito mais real e perigosa quando a pessoa consegue controlar as funcionalidades de condução e segurança do veículo.
Em 2013, Miller e Valasek já haviam provado ser possível hackear um carro, testando um Ford Escape e um Toyota Prius. Mas naquela época eles fizeram isso do banco de trás do carro e precisaram se conectar fisicamente a ele. Essa última demonstração de suas habilidades prova que hoje é possível controlar um carro remotamente, o que, claro, representa um risco totalmente diferente.
Essa história tem muitas similaridades com os recentes relatos sobre a capacidade de interceptar uma aeronave e controlá-la do solo. Especialistas em aviação se apressaram em divulgar que só alguns aviões possuem sistemas de informação e entretenimento conectado ao controle da aeronave e que, em todos os casos, o piloto tem um botão de controle manual no cockpit que permite assumir o controle e voar sem a dependência de tecnologia caso seja necessário.
Apesar de semelhantes, tratam-se de duas indústrias muito diferentes. A indústria automotiva parece se mostrar reticente quanto à regulação e definição de normas definitivas para carros conectados antes da disponibilização do produto para usuários finais.
Outra preocupação que tenho em relação a essa e outras histórias de vulnerabilidades em carros é o método de correção do problema. Há uma atualização de software disponível para a Jeep, por exemplo, que pode ser carregada por um stick USB. Apesar de soar simples, esse tipo de providência não deveria ser deixada a cargo do consumidor. Em caso de defeito de fabricação, os carros sofrem recall e são submetidos a profissionais treinados para consertá-los. Por isso, acredito que além do revendedor carregar/atualizar o software do sistema, quando uma grande vulnerabilidade como essa é encontrada as empresas deveriam fazer um recall completo e assumir a responsabilidade.
Eu me pergunto quantos motoristas de carros conectados possuem a versão mais recente do software instalado? Suspeito que muitos motoristas de BMWs que estavam sujeitas ao hack de ‘desbloqueio’ realizado no início deste ano ainda estão dirigindo por aí num carro vulnerável.
Mas há luz no fim do túnel. Os departamentos responsáveis pelos parâmetros nesta área nos EUA e Reino Unido comprometeram-se a traçar novas orientações contra esse tipo de falha. Tenho certeza que nos próximos meses esses guias serão publicados, mas, claro, a implementação na fabricação leva tempo e o risco só cresce com cada novo carro ‘conectado’ que sai da linha de produção.
* Tony Anscombe é evangelizador de segurança e especialista em Mobile da AVG Technologies.
Sobre a AVG Technologies
A AVG é uma das líderes globais em segurança online, fornecendo soluções de software e serviços para dispositivos, dados e pessoas. Com mais de 200 milhões de usuários ativos em todo o mundo, o portfólio de produtos da AVG para o consumidor final inclui segurança na Internet, otimização de desempenho, e proteção de identidade e privacidade para dispositivos mobile e desktops. Já seu portfólio para negócios – voltado para provedores de serviços gerenciados, VARs e revendedores – oferece soluções para gestão de TI, controle e geração de relatórios, segurança integrada e gestão de dispositivos móveis que simplificam e protegem empresas em diversos países. A AVG possui cerca de seis mil revendas, distribuidores e parceiros em todos os lugares do mundo, incluindo Amazon.com, CNET, Cisco e Ingram Micro.