Uma falha no site da Kia utilizado para registrar carros da marca conectados à internet permitia hackear e controlar remotamente diversas funções disponíveis nesses veículos, colocando em risco em milhões de automóveis da marca. O problema foi identificado por um grupo de pesquisadores de segurança independente.
Conforme o relatório divulgado nesta quinta-feira (26), o bug no portal de registro da montadora sul-coreana podia ser explorado por meio de uma ferramenta específica. Com o app desenvolvido para tal finalidade, a equipe acessava praticamente qualquer carro conectado ao sistema, bastando ter os dados da placa do veículo.
Ao invadir o sistema, os especialistas conseguiam travar e destravar as portas do automóvel, fazê-lo buzinar e dar a partida remotamente, além de rastrear a localização dele. Também era possível obter dados como nome completo do proprietário, número de telefone, e-mail e endereço residencial, entre outras informações.
Potenciais invasores teriam, ainda, a possibilidade de adicionar um segundo usuário “invisível” no perfil do carro hackeado dentro do sistema. Isso aconteceria sem que o usuário original percebesse, já que o software da Kia não emitiu qualquer notificação de mudança nas configurações de acesso do perfil.
Vulnerabilidade foi corrigida
A falha que permitia hackear carros da Kia afetava uma grande quantidade de modelos da marca. Segundo a Wired, quase todos os carros da montadora fabricados a partir de 2013 estavam suscetíveis ao erro, mesmo que não tivessem uma assinatura ativa do Kia Connect.
Os pesquisadores alertaram a empresa sobre a vulnerabilidade em junho e o problema foi corrigido pela montadora em agosto. De acordo com a equipe, não há evidências de que o bug tenha sido explorado de forma maliciosa — o app desenvolvido foi usado apenas no experimento.
Apesar da correção deste problema, os especialistas alertaram que os carros continuarão a ter vulnerabilidades de segurança cibernética, sugerindo que as fabricantes fiquem atentas a novos problemas.
Fontes