{"id":23104,"date":"2024-11-19T16:52:55","date_gmt":"2024-11-19T19:52:55","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=23104"},"modified":"2024-11-19T16:52:55","modified_gmt":"2024-11-19T19:52:55","slug":"tracking-and-hacking-kia-cars-via-internet","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/tracking-and-hacking-kia-cars-via-internet\/23104\/","title":{"rendered":"Como milh\u00f5es de carros Kia podem ser rastreados"},"content":{"rendered":"

Um grupo de pesquisadores de seguran\u00e7a descobriu<\/a> uma vulnerabilidade grave no portal da Web da fabricante de autom\u00f3veis sul-coreana Kia, que permitia que carros fossem hackeados remotamente e seus propriet\u00e1rios rastreados. Para hackear, era necess\u00e1rio apenas o n\u00famero da placa do carro da v\u00edtima. Vamos nos aprofundar nos detalhes.<\/p>\n

Carros superconectados<\/h2>\n

Se voc\u00ea pensar bem, nas \u00faltimas duas d\u00e9cadas, os carros se tornaram basicamente grandes computadores sobre rodas. Mesmo os modelos menos \u201cinteligentes\u201d s\u00e3o repletos de componentes eletr\u00f4nicos e equipados com uma variedade de sensores: de sonares e c\u00e2meras a detectores de movimento e GPS.<\/p>\n

E n\u00e3o s\u00f3 isso: nos \u00faltimos anos, esses computadores t\u00eam sido constantemente conectados \u00e0 Internet, com todos os riscos que isso envolve. N\u00e3o muito tempo atr\u00e1s, escrevemos sobre como os carros de hoje coletam enormes quantidades de dados sobre seus propriet\u00e1rios<\/a> e os enviam ao fabricante. Al\u00e9m disso, os fabricantes tamb\u00e9m vendem os dados coletados para outras empresas<\/a>, principalmente seguradoras.<\/p>\n

\"Unidade<\/a>

A chamada \u201cunidade principal\u201d de um carro \u00e9 apenas a ponta do iceberg; na verdade, os carros de hoje est\u00e3o repletos de eletr\u00f4nicos<\/p><\/div>\n

No entanto, h\u00e1 outro lado desse problema: estar constantemente conectado \u00e0 Internet significa que, se houver vulnerabilidades, no pr\u00f3prio carro ou no sistema na nuvem com o qual ele se comunica, algu\u00e9m pode explor\u00e1-las para hackear o sistema e rastrear o propriet\u00e1rio do carro mesmo sem o fabricante saber.<\/p>\n

Um bug para todos governar, um bug para encontr\u00e1-los<\/h2>\n

Foi exatamente o que aconteceu neste caso. Os pesquisadores encontraram uma vulnerabilidade no portal da Kia usado por propriet\u00e1rios e revendedores. Eles descobriram que, usando a API, o portal permitia que qualquer pessoa se registrasse como revendedora de carros com apenas alguns passos bastante simples.<\/p>\n

\"Portal<\/a>

O portal da Kia no qual a vulnerabilidade grave foi descoberta. Fonte<\/a><\/p><\/div>\n

Isso deu ao hacker acesso a recursos que at\u00e9 mesmo os revendedores de autom\u00f3veis n\u00e3o deveriam ter. Pelo menos, n\u00e3o depois que o ve\u00edculo fosse entregue ao cliente. Em especial, o portal permite primeiro encontrar qualquer carro da Kia e, em seguida, acessar os dados do propriet\u00e1rio (nome, n\u00famero de telefone, endere\u00e7o de e-mail e at\u00e9 mesmo o endere\u00e7o f\u00edsico), tudo com apenas o n\u00famero VIN do ve\u00edculo.<\/p>\n

Deve-se notar que os n\u00fameros VIN n\u00e3o s\u00e3o exatamente informa\u00e7\u00f5es secretas. Em alguns pa\u00edses, eles est\u00e3o dispon\u00edveis publicamente. Por exemplo, nos EUA, existem muitos servi\u00e7os on-line<\/a> que podem ser usados para procurar um n\u00famero VIN usando o n\u00famero da placa de um carro.<\/p>\n

\"Diagrama:<\/a>

Um esquema geral do ataque do portal da Web da Kia, permitindo controlar qualquer carro usando o n\u00famero VIN. Fonte<\/a><\/p><\/div>\n

Depois de encontrar o carro, o hacker pode usar os dados do propriet\u00e1rio para registrar qualquer conta controlada pelo hacker no sistema da Kia como um novo usu\u00e1rio do ve\u00edculo. A partir da\u00ed, o hacker tem acesso a v\u00e1rias fun\u00e7\u00f5es normalmente dispon\u00edveis para o propriet\u00e1rio real do carro por meio do aplicativo m\u00f3vel.<\/p>\n

O que \u00e9 particularmente interessante \u00e9 que todos esses recursos n\u00e3o estavam dispon\u00edveis apenas para o revendedor que vendeu o carro, mas para qualquer revendedor registrado no sistema da Kia.<\/p>\n

Hackear um carro em segundos<\/h2>\n

Os pesquisadores ent\u00e3o desenvolveram um aplicativo experimental que poderia assumir o controle de qualquer ve\u00edculo da Kia em segundos, simplesmente inserindo o n\u00famero da placa nos campos de entrada. O aplicativo encontra automaticamente o VIN do carro atrav\u00e9s do servi\u00e7o relevante e o usa para registrar o ve\u00edculo na conta dos pesquisadores.<\/p>\n

\"Aplicativo<\/a>

Os pesquisadores at\u00e9 criaram um aplicativo \u00fatil para simplificar a invas\u00e3o, usando apenas o n\u00famero da placa do carro Kia. Fonte<\/a><\/p><\/div>\n

Depois disso, basta apertar um bot\u00e3o no aplicativo para permitir ao hacker obter as coordenadas atuais do ve\u00edculo, travar ou destravar as portas<\/a>, ligar ou desligar o motor ou buzinar.<\/p>\n

\"Hackear<\/a>

O aplicativo pode ser usado para obter as coordenadas do carro hackeado e enviar comandos. Fonte<\/a><\/p><\/div>\n

\u00c9 importante notar que, na maioria dos casos, essas fun\u00e7\u00f5es n\u00e3o seriam suficientes para roubar o carro. Os modelos modernos geralmente s\u00e3o equipados com imobilizadores, que exigem a presen\u00e7a f\u00edsica da chave para serem desativados. Existem algumas exce\u00e7\u00f5es, mas geralmente esses s\u00e3o os carros mais baratos e que provavelmente n\u00e3o despertar\u00e3o o interesse dos ladr\u00f5es.<\/p>\n

No entanto, a vulnerabilidade pode ser facilmente usada para rastrear o propriet\u00e1rio do carro, roubar objetos de valor deixados dentro dele (ou plantar algo l\u00e1) ou simplesmente atrapalhar a vida do motorista com a\u00e7\u00f5es inesperadas do ve\u00edculo.<\/p>\n

Os pesquisadores seguiram o protocolo de divulga\u00e7\u00e3o respons\u00e1vel, informando o fabricante sobre o problema e publicando as descobertas somente depois que a Kia corrigiu o bug. No entanto, eles observam que j\u00e1 encontraram <\/a>vulnerabilidades semelhantes antes e est\u00e3o confiantes de que continuar\u00e3o a descobrir mais no futuro.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Uma vulnerabilidade no portal da Kia tornou poss\u00edvel hackear carros e rastrear seus propriet\u00e1rios. Para isso, era necess\u00e1rio apenas o n\u00famero VIN do carro ou o n\u00famero da placa.<\/p>\n","protected":false},"author":2706,"featured_media":23112,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,1028,1029],"tags":[238],"class_list":{"0":"post-23104","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-privacy","9":"category-technology","10":"tag-carros"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/tracking-and-hacking-kia-cars-via-internet\/23104\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/tracking-and-hacking-kia-cars-via-internet\/28213\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/tracking-and-hacking-kia-cars-via-internet\/23468\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/tracking-and-hacking-kia-cars-via-internet\/12134\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/tracking-and-hacking-kia-cars-via-internet\/28353\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/tracking-and-hacking-kia-cars-via-internet\/27773\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/tracking-and-hacking-kia-cars-via-internet\/30513\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/tracking-and-hacking-kia-cars-via-internet\/29267\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/tracking-and-hacking-kia-cars-via-internet\/38443\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/tracking-and-hacking-kia-cars-via-internet\/12916\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/tracking-and-hacking-kia-cars-via-internet\/52497\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/tracking-and-hacking-kia-cars-via-internet\/22339\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/tracking-and-hacking-kia-cars-via-internet\/31742\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/tracking-and-hacking-kia-cars-via-internet\/28434\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/tracking-and-hacking-kia-cars-via-internet\/34307\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/tracking-and-hacking-kia-cars-via-internet\/33934\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/carros\/","name":"carros"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/23104","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=23104"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/23104\/revisions"}],"predecessor-version":[{"id":23118,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/23104\/revisions\/23118"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/23112"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=23104"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=23104"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=23104"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}