Seu carro pode estar espionando você

É melhor pensar no carro moderno como um computador sobre rodas que constantemente envia dados de diagnóstico para os servidores da montadora ou do revendedor. Ao entrar no carro, você encontrará dezenas de sensores: GPS, velocímetros, microfones com viva-voz, câmeras externas e até mesmo sensores menos óbvios (mas muito ativos) de pressão do pedal, pressão dos pneus, temperatura do motor e muito mais. Ainda que esses dados não sejam transmitidos à montadora em tempo real, eles são registrados na memória interna do carro e podem revelar uma grande quantidade de informações sobre as viagens, os hábitos e o entorno do motorista. Já explicamos como as montadoras coletam dados para uso comercial e para quem eles são vendidos (alerta de spoiler: as seguradoras são as maiores compradoras de telemetria), mas hoje mostraremos como os órgãos de segurança pública e as agências de inteligência utilizam essa mina de ouro.

Provas digitais

Os departamentos de polícia do mundo todo reconhecem o imenso valor dos dados armazenados nos veículos. Quando um carro ou o seu proprietário está envolvido em um crime, os investigadores fazem mais do que apenas verificar impressões digitais ou DNA. A tecnologia Car Intelligence (CARINT) permite que eles vasculhem todos os sistemas a bordo do carro, extraindo dados como:

• Histórico de viagens fornecido pelo GPS
• Registros de chamadas, atividade do player de mídia e comandos de voz
• Listas de dispositivos pareados e de contatos sincronizados
• Estatísticas de condução: quilometragem, modos de desempenho do motor e outros parâmetros técnicos

Há vários casos em que esses dados serviram como prova e desmentiram álibis. Em um caso ocorrido nos EUA, um comando de voz gravado representou a prova concreta de que a pessoa tida como suspeita era a autora do crime.

Com o aumento de carros conectados com SIM próprio e comunicação direta com a montadora, agentes de segurança pública não precisam mais de acesso físico ao veículo. Dados importantes, como o histórico de localização fornecido pelo GPS, podem ser obtidos diretamente dos servidores da montadora. Além disso, uma investigação conduzida pelo Senado dos EUA revelou que nove das 14 montadoras investigadas estavam fornecendo esses dados sem um mandado.

Os principais fornecedores de software de inteligência automotiva, como Ateros, Berla, TA9/Rayzone e Toka, vendem apenas para agências governamentais e policiais, por isso são pouco conhecidos pelo público.

Vigilância abrangente

Para rastrear pessoas, os dados extraídos do seu próprio veículo são cruzados com informações de outras fontes. Segundo vazamentos à imprensa, os principais produtos dessa categoria combinam dados do SIM do carro, registros de Bluetooth, imagens de câmeras de segurança de monitoramento urbano e informações disponibilizadas para venda por corretores de dados. Esse conjunto de dados híbrido simplifica o mapeamento abrangente dos movimentos e contatos de uma pessoa sob investigação. Jornalistas descobriram que algumas empresas permitem ativar remotamente microfones e câmeras do veículo sem que o proprietário descubra, permitindo a eles ouvir conversas em tempo real. No entanto, especialistas observam que, devido à diversidade de implementações técnicas em diferentes sistemas, invadir o sistema de um carro continua sendo uma tarefa difícil e sem garantia de sucesso. Muitas vezes, é mais simples correlacionar outros conjuntos de dados, mais acessíveis, para obter o mesmo resultado.

Ferramentas de espionagem nativas

Recursos como a ativação secreta de câmeras, microfones e outros sensores podem, em teoria, fazer parte das funcionalidades de fábrica de um veículo, em vez de serem resultado de uma invasão. Embora não tenhamos encontrado nenhuma prova pública de tais casos, sabe-se que os veículos fabricados na China estão sob crescente escrutínio em vários países. Eles foram banidos de instalações militares israelenses, com exceção de um único modelo da Chery, desde que seu sistema multimídia tenha sido removido. O Reino Unido e a Polônia também estabeleceram proibições semelhantes, sendo que os funcionários do Ministério da Defesa do Reino Unido são instruídos a não conectar o telefone de trabalho a carros fabricados na China. Na Alemanha, as análises de segurança de veículos chineses foram realizadas pelas agências especializadas BfV e ZITiS, mas as descobertas permanecem confidenciais.

Vigilância de baixo custo

Para rastrear um veículo, ou milhares deles, não é necessário invadir os sistemas a bordo nem acessar extensas redes de leitores de placas. Um estudo científico recente demonstrou que os sistemas de monitoramento da pressão dos pneus (TPMS), que à primeira vista parecem inocentes, fornecem dados suficientes para um rastreamento eficaz. Os dados desses sensores são transmitidos por rádio sem qualquer criptografia e incluem um ID exclusivo que facilita a identificação de um carro específico. Isso permite mais do que apenas confirmar o movimento do veículo; também pode ser usado para estimar o peso do motorista ou determinar se ele está viajando sozinho. Pode não parecer tão impressionante quanto acessar remotamente as câmeras de um carro, mas exige pouco investimento e funciona até em veículos mais antigos sem conexão com a Internet.

Como se proteger contra o rastreamento de veículos

Rastrear alguém pelo carro compromete a privacidade. No entanto, equilibrar a mitigação desse risco é difícil, pois muitas medidas são complexas e ineficazes, reduzindo a utilidade, a segurança e a conveniência dos veículos modernos. Assim, antes de tomar qualquer medida, você deve ponderá-la em relação ao seu perfil de risco pessoal.

Para reduzir o risco de vazamento de dados, verifique as configurações de privacidade no aplicativo do fabricante, no sistema multimídia do carro e no smartphone conectado. Um carro conectado pode transmitir para a nuvem dados sobre seu funcionamento: informações sobre viagens, localização, estilo de direção, condição do veículo e funcionamento de seus componentes. Alguns desses dados são necessários para navegação, diagnóstico e manutenção, mas nem todas as permissões são indispensáveis: revise as configurações e desative a transmissão de dados não relacionados às funções necessárias.

Tenha cuidado com as permissões de acesso ao microfone, à câmera, aos contatos, às mensagens e à geolocalização. Conecte ao carro apenas seus próprios dispositivos e não salve telefones de outras pessoas nem dispositivos Bluetooth desconhecidos no sistema. Ao sincronizar o smartphone, selecione apenas recursos dos quais precisa: chamadas, música e navegação, em vez de conceder acesso total a todos os dados do aparelho.

Não recorra a técnicos que ofereçam “desbloquear” o carro, reprogramar unidades de controle eletrônico ou instalar softwares para ampliar recursos, aumentar a potência ou interferir no funcionamento do carro. Esses softwares não foram testados pelo fabricante: eles podem agir de forma imprevisível, coletar e transmitir dados para agentes maliciosos, desativar recursos de segurança ou afetar sistemas críticos do veículo: incluindo direção, frenagem e funcionamento do motor.

Ao escolher um carro novo, pergunte na concessionária não apenas sobre a pontuação nos testes de segurança NCAP, potência do motor ou consumo de combustível, mas também sobre as tecnologias de cibersegurança utilizadas no veículo. Soluções como o Kaspersky Automotive Secure Gateway, que é baseado no KasperskyOS, fornecerão a proteção necessária para carros novos contra ameaças cibernéticas.

Que outras ameaças os carros conectados escondem? Leia mais em nossas publicações:

• Hackers na estrada: ameaças cibernéticas a carros conectados
• Carros hackeados via Bluetooth
• Botnets sobre rodas: a invasão em massa das câmeras veiculares
• Como milhões de carros Kia podem ser rastreados
• Eu sei o que você fez (no volante) no verão passado
• Espiões sobre rodas: como as montadoras coletam e revendem informações