Paranoia: seu elétrico pode, mesmo, ser uma bomba-relógio?

No início deste mês, um grupo norte-americano de especialistas em segurança cibernética descobriu algo, há até pouco tempo, inimaginável: que o “kdealer.com”, portal dos concessionários Kia dos Estados Unidos, poderia ser facilmente atacado por hackers. Além de obterem dados sigilosos em serviços de nuvem, os invasores também poderiam acessar, remotamente, os veículos da marca sul-coreana.

Você pode se interessar por: 

• Chefão da Stellantis pode ser mandado embora por crise nos Estados Unidos
• Deepal L07 é Fastback chinês com até 705 km de autonomia
• Volkswagen vai duelar com sindicatos para economizar R$ 60 bilhões até 2026
• Crise: Volkswagen cogita fechar fábricas

Se violada, a interface permitiria que criminosos, em apenas de 30 segundos, assumissem várias funções de modelos produzidos a partir de 2013, incluindo o acionamento do motor e o destravamento de portas.

“É uma falha do sistema que afeta milhões de veículos, só nos EUA, e a principal vulnerabilidade é a falta de controles adequados de autenticação e autorização no portal dos revendedores”, explica o presidente-executivo (CEO) da empresa de segurança digital e programação de aplicativos Wallarm, Ivan Novikov. “Os fornecedores automotivos são relativamente novos na construção de sistemas de TI e infraestrutura de nuvem, então há muitos erros e fragilidades”, completa.

Para além do viés alarmista do relatório, o governo norte-americano está prestes a proibir o uso de softwares e hardwares chineses e russos em “automóveis conectados” vendidos no país, principalmente nos EVs. A recente onda de pagers e walkie-talkies que explodiram, no Oriente Médio, só aumentou a urgência da pauta, que trata de “bombas-relógio sobre quatro rodas”.

A regra de segurança nacional proposta pelo governo Biden promete impedir que terroristas ou mesmo adversários comerciais dos EUA invadam os sistemas operacionais de carros que circulam da Califórnia à Flórida, roubando dados pessoais dos motoristas estadunidenses. Se aprovada, a medida impediria o uso de tais softwares, a partir de 2027, e de tais hardwares, a partir de 2030. A expectativa é que a nova regulamentação seja promulgada em janeiro do ano que vem.

“Depois do que vimos, no Líbano, há um medo de que EVs e até mesmo modelo a combustão equipados com softwares suspeitos possam se tornar uma célula adormecida, pronta para ser acionada contra os norte-americanos remotamente, com um simples comando de Pequim ou Moscou. Estamos focados numa nova ameaça à segurança nacional, uma ameaça muito real, que automóveis conectados possam representar para o nosso país”, disse a secretária de Comércio dos EUA, Gina Raimondo, numa declaração que fica entre o protecionismo comercial grosseiro e a paranoia.

No último dia 17 de setembro, milhares de pagers explodiram simultaneamente por todo o Líbano, mercados, carros e casas, cafés e vias públicas, em um ataque cibernético do Mossad (o Instituto de Inteligência e Operações Especiais que é a agência de inteligência nacional de Israel) que, supostamente, teve como alvo o grupo militante Hezbollah.

No dia seguinte, uma segunda onda de ataques explodiu walkie-talkies. Os ataques inundaram hospitais, semeando caos e confusão por todo o país, vitimando ao menos 37 pessoas, incluindo crianças, e ferindo mais de outras 3.000, de acordo com a Associated Press. “Para os defensores da nova proposta de lei norte-americana, não são dispositivos eletrônicos, mas carros-bombas, EVs que poderão explodir remotamente, de costa a costa”, comenta o jornalista Hans Greimel, editor para a Ásia da “AutoNews”.

Códigos suspeitos

A realidade libanesa revelou que este tipo de ataque não é, apenas, ficção científica e que, a partir de agora, será necessário policiar as cadeias automotivas de suprimentos. Os pagers explosivos, por exemplo, foram aparentemente fabricados e entregues por uma trilha obscura de empresas que incluía uma firma taiwanesa legítima, que licenciou sua marca para um fabricante húngaro que pode ou não tê-los fabricado e até mesmo entregue. Já os walkie-talkies, acredita-se que sejam cópias falsificadas de um modelo japonês.

“Mesmo que restrições sejam impostas, os reguladores não dão certeza de que um inimigo não conseguiria contornar as salvaguardas e infiltrar EVs, nos EUA, com códigos e componentes suspeitos”, avalia a secretária de Comércio dos EUA, Gina Raimondo.

Para o CEO da Wallarm, Ivan Novikov, a pressa em adicionar recursos de conexão nos mais recentes lançamentos, principalmente nos EVs, significa menos controle e mais componentes não testados, o que aumenta o risco de problemas relacionados às interfaces de programação de aplicações (API).

“À medida que o setor amadurecer, essas vulnerabilidades diminuirão”, prevê Novikov. De acordo com ele, a falha identificada no portal “kdealer.com” é, na verdade, o segundo bug relatado à Kia. “Técnica semelhante para sequestro de dados e invasão de sistemas já havia sido identificada, no ano passado. Numa demonstração com um Soul ano-modelo 2020, um aplicativo projetado pelos próprios pesquisadores tomou o controle da direção e dos freios, desabilitando o imobilizador do motor”, acrescenta.

Nunca é demais lembrar que, em 2021, um vídeo que circulou no TikTok “ensinava” os internautas a, facilmente, fazerem ligação direta em modelos da Kia e da Hyundai. Um ano depois, em 2022, vítimas de furto, dano e perda de veículos das marcas moveram uma ação coletiva que ainda está em trâmite, nos EUA, onde espera-se que os fabricantes proponham um acordo de US$ 200 milhões (o equivalente a mais de R$ 1 bilhão) para encerramento do processo.

“Há uma nova frente de guerra, graças à rede global de conectividade. China e Rússia não são inimigas norte-americanas, mas também não são, exatamente, nações amigas. Neste cenário, a prudência pode ser construir muralhas antes que o inimigo esteja no console do seu carro”, expõe Hans Greimel, da “AutoNews”.

Receba as reportagens da Mobiauto via Whatsapp