Deu o óbvio: placas digitais dos carros da Califórnia já podem ser hackeadas
Meses após estrearem, pesquisadores realizaram testes para encontrar vulnerabilidades na placa digital; resultado: tem, sim
Meses após estrearem, pesquisadores realizaram testes para encontrar vulnerabilidades na placa digital; resultado: tem, sim
Em outubro de 2022, o estado da Califórnia estreou algo muito legal: placas digitais para carros. Porém, antes mesmo delas estrearem, especialistas em cibersegurança alertavam que elas poderiam ser hackeadas. Três meses depois, pesquisadores afirmam que invadiram o sistema da placa digital.
A proposta da placa digital, que possui um cartão SIM, é interessante. Com ela, o motorista tem acesso a ferramentas como localização por GPS, personalização do texto localizado abaixo do número da placa, renova o licenciamento via app e até mesmo um modo noturno — cuja utilidade deve ser dificultar a fotinho do pardal/radar. Mas ela também trouxe esse infortúnio, anunciado desde a discussão do projeto de lei.
A invasão ao sistema da Reviver, fabricante da RPlate, nome da placa digital que é basicamente um tablet preso nos para-choques do carro, foi realizada por Sam Curry. Curry é um bug hunter (caçador de bugs e falhas) e já mostrou em falhas na Apple e no Chess.com, o mais popular site de xadrez.
A Reviver é, aparentemente, a única fornecedora da placa digital — seja por licitação ou por não possui concorrentes ainda. Curry foi capaz de invadir o sistema da empresa e ter acesso administrativo as contas registradas na empresa. Com isso, ele pode usar todos os recursos práticos que os clientes podem usar pelo aplicativo.
Para a segurança do usuário, a localização do carro por GPS é muito útil em caso de furto. Porém, com uma invasão ao sistema ela deixa de ser um recurso de segurança e vira uma ferramenta criminosa. A Reviver também fornece um serviço de rastreio de frotas para empresas — e Sam Curry teve acesso a isso também. Com a localização de uma pessoa ou de carros da empresa, criminosos podem organizar roubos ou assaltos.
E ainda nessa funcionalidade de localização, Curry era capaz de alterar o status de um carro. Desse modo, poderia informar se um carro estava roubado ou não.
A função de modificar o texto na placa? Bem, uma bela ferramenta para hackers mais “zoeiros” aplicarem uma “trollagem” com os motoristas.
Para o site Motherboard, a Reviver informou que corrigiu a falha em menos de 24 horas após descobrir o problema. A empresa também afirma que ninguém usou a vulnerabilidade para atacar os usuários do serviço.