Olhar Conceito

Quinta-feira, 28 de março de 2024

Notícias | Tecnologia

Jeep foi hackeado graças à 'porta de rede aberta' sem senha

Foto: (Foto: Divulgação)

Interior do Jeep Cherokee, com computador de bordo vulnerável a ataque.

Interior do Jeep Cherokee, com computador de bordo vulnerável a ataque.

Os pesquisadores Charlie Miller e Chris Valasek, que revelaram a existência de uma brecha de segurança em sistemas de entretenimento usado pela Fiat Chrysler, revelaram mais detalhes sobre o ataque. Tudo foi possível por causa de uma "porta aberta" no sistema de entretenimento UConnect.

O UConnect é desenvolvido por outra empresa chamada Harman. A Harman disse que o sistema usado nos veículos da Fiat Chrysler é "mais antigo" e é o único software vulnerável da empresa, que lista diversas outras montadoras como "parceiras". A brecha que os pesquisadores descobriram, porém, mostra considerável falta de cuidado no desenvolvimento do sistema.

Quando se fala em computadores e redes IP, como a usada na internet, uma porta é um "canal de comunicação". Quando dois computadores se conectam para trocar dados, um deles precisou de uma "porta aberta" para receber essa conexão e o processo de comunicação começar. Em geral, somente mensagens de configuração de rede e diagnóstico não exigem uma porta, porque funcionam com protocolos próprios que podem ser inteiramente ignorados em muitos casos.

Portas abertas são necessárias sempre que há uma prestação de serviço para a rede. Por exemplo, um site de internet precisa "abrir uma porta" para que o site seja acessado. A mesma coisa vale para um estabelecimento comercial na rua, por exemplo: para atender clientes, a porta precisa estar aberta ou alguém precisa monitorar a porta e abrir sempre que um cliente se apresentar.

Uma porta aberta não torna um ataque possível. No entanto, qualquer serviço aberto precisa ser programado com muito cuidado: a porta pode receber qualquer informação e é dever do programa processar ou descartar essas informações. Um erro ou exposição desnecessária viabiliza o ataque. Por esse motivo, quando não há necessidade de manter uma porta aberta, o ideal é sempre fechá-la.

No caso do Jeep, os pesquisadores identificaram diversas portas abertas. Uma delas, de número 6667, era um sistema de interligação que envia comandos a outros sistemas e, portanto, um recurso de alto risco. Não há necessidade de expor esse serviço, a não ser com o objetivo de dar parte do controle do carro para a internet. Para piorar, o serviço não exigia senha para o acesso e envio de comandos.

O veículo tinha uma proteção da operadora de celular Sprint, a única com o qual o carro se conecta. A Sprint bloqueava todas as conexões externas, o que impedia o ataque a partir da internet. Os pesquisadores burlaram essa proteção com uma torre de celular própria, o que limitaria o alcance do ataque, mas ainda o tornaria possível. No entanto, eles depois descobriram que a Sprint não fazia o bloqueio entre dispositivos da própria rede. Ou seja, eles conseguiram acessar o carro de qualquer lugar dos Estados Unidos usando a internet de um celular da Sprint.

A porta 6667 foi bloqueada pela Sprint e, com essa medida, o ataque tornou-se impossível mesmo em carros que não tiveram seus sistemas atualizados para instalar uma correção.

Um artigo com todas as informações levantadas pela pesquisa foi publicado por Miller e Valasek nesta segunda-feira (10) (baixe aqui, PDF em inglês). No texto, eles detalham diversas outras áreas possivelmente vulneráveis no sistema do Cherokee e de outros carros que empregam computadores de bordo.

Miller e Valasek ainda afirmam que teria sido possível criar um "vírus de carro" capaz de se propagar de um veículo para outro pela internet. A brecha, segundo eles, foi "trivial".

Lista de veículos vulneráveis
A Fiat Chrysler realizou um recall dos seguintes veículos por estarem vulneráveis ao problema:

- Dodge Viper 2013-2015
- Dodge Ram 2013-2015
- Jeep Grand Cherokee / Cherokee 2014-2015
- Dodge Durango 2014-2015
- Chrysler 200 2015
- Chrysler 300 2015
- Dodge Charger 2015
- Dodge Challenger 2015

Estima-se que 1,4 milhão de unidades desses modelos estão em circulação nos Estados Unidos. Segundo a montadora, o sistema de entretenimento vulnerável, o Harman UConnect, não foi comercializado em outros países.

Entre em nossa comunidade do WhatsApp e receba notícias em tempo real, clique aqui

Assine nossa conta no YouTube, clique aqui
Sitevip Internet