Apps em automóveis: quem está com a chave do seu carro?

A maioria dos aplicativos para carros conectados requer acesso à sua conta com o fabricante. Mas eles são seguros?

Qualquer carro nos dias atuais é basicamente um computador sobre rodas. E muitos também estão conectados à internet. Como resultado, além dos próprios veículos, as montadoras agora estão desenvolvendo aplicativos para controlá-los remotamente. Eles podem ser usados ​​para verificar a localização do carro, ligar o aquecimento ou o ar condicionado com antecedência, travar e destravar as portas e muito mais.

No entanto, usuários diferentes têm necessidades muito diferentes e não é possível unificar todos os recursos em um único aplicativo. Assim, além do software das montadoras, também existem aplicativos de terceiros para todos os gostos e carteiras. Claro, isso é bastante prático. Mas é seguro? Nossos pesquisadores decidiram investigar

Quem está no comando do seu carro?

Para que o carro saiba que é realmente você que está usando o aplicativo, é necessário inserir um nome de usuário e uma senha. Se você usa o próprio aplicativo da montadora, suas credenciais não são passadas para terceiros, o que é algo positivo. E existem padrões de segurança para fabricantes de automóveis nos quais seus produtos devem atender.

Se você escolher um aplicativo de terceiros com alguns recursos exclusivos que não existem no aplicativo oficial, de alguma forma ele precisará acessar o veículo ou seus dados de telemetria. Alguns aplicativos usam soluções especialmente desenvolvidas pela montadora para esse fim, que não exigem suas credenciais e têm acesso limitado ao veículo, permitindo que você use suas funcionalidades, mas impedindo-os de fazer coisas perigosas, como destravar as portas. Esses aplicativos são mais ou menos seguros, mas ainda são poucos.

A maioria dos aplicativos de carros conectados exige o nome de usuário e a senha da sua conta com o fabricante; ou seja, eles obtêm acesso total à sua conta. Ao mesmo tempo, os requisitos de segurança aplicáveis ​​às montadoras não se estendem a esses aplicativos, e é aí que surge o problema.

Confiança é tudo

O foco principal do estudo foi nos aplicativos móveis de terceiros que usam a conta do proprietário do veículo com o fabricante. Infelizmente, mais da metade dos desenvolvedores de aplicativos não alertam sobre os riscos de compartilhar a conta. Aqueles que avisam os usuários, garantem que eles não armazenarão as credenciais ou as armazenarão de forma criptografada. Alguns deles enfatizam que o nome de usuário e a senha são necessários apenas para obter um token de autorização. No entanto, um token permite que qualquer pessoa use a conta em seu nome, assim como com suas credenciais de login, e também pode vazar se armazenado incorretamente. Além disso, não há como verificar como suas credenciais são realmente tratadas: você confia nos desenvolvedores ou não usa o aplicativo.

Além disso, os desenvolvedores de 14% dos aplicativos que nossos pesquisadores investigaram se mostraram impossíveis de serem contatados em caso de problemas: os detalhes de contato em seus sites estavam ausentes ou apontavam para páginas de mídia social excluídas.

É uma situação semelhante com os web services: o usuário entrega suas credenciais sem saber ao certo como elas serão armazenadas e processadas. As soluções de código aberto são mais transparentes a esse respeito: usuários experientes em tecnologia podem pelo menos estudar o código. No entanto, para pessoas comuns sem formação técnica, será extremamente difícil descobrir isso.

Outro problema é que também existem serviços intermediários que conectam os sistemas da montadora a aplicativos de terceiros. Eles são usados ​​por desenvolvedores de aplicativos para carros e serviços online, mas podem ser algo que os usuários não têm a menor ideia. E é importante entender que, se o aplicativo automotivo de terceiros escolhido funcionar por meio de um serviço intermediário, os desenvolvedores de ambos obterão suas credenciais.

Apps de terceiros que acessam seu carro: qual é o risco?

Se suas credenciais não forem armazenadas com muita segurança, os invasores poderão acessá-las. Eles provavelmente não conseguirão roubar seu carro, mas podem controlar remotamente os vários sistemas: portas e janelas, controle climático, buzina, faróis, etc. pode ser desagradável, e até bastante perigoso.

Isso pode parecer um cenário do tipo James Bond: quem iria querer acabar com você de uma maneira tão elaborada? Mas se esses dados vazarem para o domínio público, podem cair nas mãos de “engraçadinhos” em qualquer lugar do mundo, que são muitos, que só querem se divertir e nem percebem quais podem ser as consequências.

Além disso, se um aplicativo for hackeado, os invasores terão acesso a todos os dados coletados, incluindo geolocalização. E isso pode ser usado para rastrear os movimentos dos proprietários de carros – novamente, de qualquer lugar do mundo.

Aqui está um exemplo recente. Não muito tempo atrás, o especialista em segurança de 19 anos David Colombo descobriu acidentalmente uma vulnerabilidade no aplicativo TeslaMate para coletar, armazenar e visualizar dados de telemetria de veículos Tesla. Ele conseguiu descobrir onde os proprietários dos carros moravam, onde dirigiam e a que velocidade, onde os veículos estavam estacionados, onde pagavam pedágios e quais atualizações foram instaladas nesses carros.

Embora o aplicativo em si tenha sido projetado apenas para coletar dados – não para controlar o carro, Colombo conseguiu fazer exatamente isso. E tudo porque o armazenamento contendo as credenciais do usuário era acessíveis com a senha padrão, enquanto algumas informações podiam ser recuperadas sem autorização alguma. Colombo relatou o problema aos desenvolvedores do aplicativo e eles o corrigiram de forma relativamente rápida. Apesar do final feliz, a história mostra que aplicativos terceirizados de carros podem não ser tão confiáveis ​​quanto afirmam os desenvolvedores.

Então, eu devo parar de usar apps de terceiros?

Tudo isso não quer dizer que aplicativos de terceiros nunca devam ser usados ​​em nenhuma circunstância. De forma alguma todos os desenvolvedores são indiferentes à segurança dos dados do usuário. Como observamos, os criadores do TeslaMate responderam rapidamente ao relatório de vulnerabilidade e corrigiram o problema. E, como mencionado, existem aplicativos que não exigem acesso total à sua conta com a montadora.

Dito isso, se você deseja usar recursos que faltam no aplicativo nativo do seu veículo, tenha cuidado ao escolher: se possível, escolha um aplicativo de um desenvolvedor confiável, que pelo menos não oculte seus dados de contato e respeite o conceito de transparência. Procure relatórios de especialistas em segurança e feedback de usuários experientes em tecnologia que entendem como tudo funciona e quais são os riscos.

Se você já está usando um aplicativo de terceiros, mas deseja abandoná-lo, observe que simplesmente desinstalá-lo do seu smartphone pode não ser suficiente…

  • Verifique se você também precisa cancelar ou excluir sua conta com o serviço;
  • Por precaução, altere a senha da sua conta com a montadora;
  • Se possível, revogue o acesso do aplicativo à sua conta pelo site do fabricante ou pelo suporte técnico.

Mais testado Mais premiado

 

Dicas