Meio Bit » Segurança » Painel do Tesla mantém dados de usuário após remoção

Painel do Tesla mantém dados de usuário após remoção

Painéis inteligentes do Tesla são vendidos livremente no eBay. Dados incluem senhas e chamadas, que não são apagados com reset de fábrica

07/05/2020 às 9:30

A Tesla pode ter arrumado uma bela dor de cabeça: um hacker descobriu, após adquirir uma certa quantidade de painéis inteligentes que equipam os carros da companhia, que os mesmos possuem uma segurança de dados ridícula, mantendo dados do usuário, senhas, cookies e logs mesmo após serem removidos.

As informações podem ser acessadas por um terceiro mesmo se o usuário fizer um reset de fábrica, na (vã) esperança de apagar tudo.

Steve Jurverson / painel de um Tesla / Flickr

O hacker em questão, que atende por greentheonly no Twitter, é o típico "white hat" que gosta de fuçar e que ao encontrar falhas graves em sistemas e serviços, busca entrar em contato com os responsáveis para que correções sejam implementadas. Quando não há resposta, o procedimento normal é ir à público e esperar que alguma atitude seja tomada. Foi o caso aqui, mas a história tomou contornos curiosos.

O problema envolvendo a Tesla envolve tanto as duas gerações das unidades controladoras de mídia (MCUs) dos Teslas Model S e Model X, que são separados do dispositivo de piloto automático (que também é vulnerável), quanto o ICE, uma unidade que une os dois componentes em um só, presente no Model 3 e no Model Y.

Com eles, é possível armazenar contatos, fazer ligações, estabelecer uma rede Wi-Fi, assistir vídeos do YouTube ou da Netflix e até jogar: alguns modelos incluem Cuphead e recentemente, Elon Musk aventou a ideia de incluir Minecraft com suporte a multiplayer.

Claro, Musk é o cara que diz ter nomeado seu filho à moda Prince na fase "O Artista", além de conseguir novamente derrubar as ações da Tesla com outro tweet desastrado, então nunca se sabe.

Voltando ao vazamento, o hacker afirma ter conseguido acesso aos sistemas do MCU e do ICE após adquirir 13 deles pelo eBay (um deles semidestruído, mas chegaremos lá). Tais painéis são removidos pela assistência técnica da Tesla por vários motivos, desde substituição de uma unidade danificada à troca por um modelo mais moderno, mas em tese, os componentes não deveriam estar disponíveis para venda.

Mas estão.

eBay / MCU do Tesla à venda

Após análise, greentheonly constatou que cada uma das 13 unidades, incluindo a parcialmente destruída, mas cujos dados puderam ser lidos, continham informações sensíveis dos usuários anteriores, dos mais diversos:

  • Listas de contatos de celulares que foram conectados;
  • Logs de chamadas;
  • Entradas no calendário;
  • Senhas de redes Wi-Fi e serviços como Spotify armazenadas em texto puro (argh!);
  • Dados de navegação e marcações pessoais, como onde o usuário mora e trabalha;
  • Todos os locais visitados com o Tesla enquanto o dito painel estava instalado;
  • Cookies de perfis da Netflix e YouTube, que permitiram acessar as contas do Gmail ligadas a eles.

O problema persiste mesmo se o usuário fizer um reset de fábrica: os dados ainda podem ser acessados através de um banco de dados SQLite, que só é bloqueado quando o painel é reconfigurado com novos dados de usuário.

Esta não é a primeira vez em que a Tesla se mete em um rolo do tipo, e nem o primeiro abacaxi que greentheonly jogou na direção da companhia: em 2019, o hacker e a rede CNBC vieram a público com informações do mesmo tipo, sobre carros vendidos para o ferro-velho que mantinham inclusive vídeos capturados momentos antes de um acidente.

Na época, a Tesla alegou que os problemas se resolveriam com um reset de fábrica, mas desta vez, o problema é mais grave: primeiro, a limpeza de dados de nada adianta; segundo, os MCUs e ICEs sequer deveriam estar à venda, o que indica que assistências autorizadas removem os painéis e os vendem por fora, na esperança de fazer uma grana extra.

A Tesla não respondeu a nenhum dos contatos de veículos de mídia, porém, uma fonte que não quis se identificar trouxe uma informação bizarra: a orientação da empresa é de que os painéis sejam devidamente jogados fora uma vez removidos. Um dos pré-requisitos do procedimento é "martelar a unidade algumas vezes antes de descartá-la".

Laser Unicorns / Kung Fury / Tesla

Muito provavelmente foi o que aconteceu com a unidade semidestruída que greentheman adquiriu, mas como o procedimento foi feito de qualquer jeito, os dados ainda puderam ser acessados.

Aos usuários afetados pelo vazamento, a recomendação é ou evitar o upgrade do painel, um serviço adicional oferecido pela Tesla, ou caso o processo já tenha sido feito (incluindo substituição por danos), que entrem em contato com a empresa para que esta forneça provas de que os dados foram apagados, ou na melhor das hipóteses, que o MCU ou ICE removido seja devolvido ao cliente.

Na impossibilidade disso acontecer, é altamente recomendado que os donos de Teslas que trocaram os painéis mudem as senhas de todos os serviços e contas que usam em seus veículos.

Com informações: Ars Technica, InsideEVs

Leia mais sobre: .

relacionados


Comentários