BMW Corrige Falha de Segurança em Software que Tornou 2,2 Milhões de Veículos Vulneráveis a Sequestros

A BMW corrigiu uma falha em seu software interno que gerencia a comunicação do veículo, que poderia ter tornado seus 2,2 milhões de veículos, incluindo Rolls-Royce, Mini e BMWs, vulneráveis a hackers

A Bavarian Motor Works ou BMW da Alemanha é considerada o epítome de luxo e desempenho. O fabricante de automóveis com sede em Munique, Baviera, está no ramo automobilístico há mais de 70 anos e fabrica carros de luxo de alta qualidade, como Rolls-Royce, Mini e BMWs, além de motocicletas para o mercado mundial.

Como a BMW é considerada um dos carros mais seguros que você pode comprar em termos de desempenho, tem sido vista como um símbolo de confiabilidade. Mas o Allgemeiner Deutscher Automobil-Club (ADAC) pensa diferente. Uma equipe de pesquisadores do ADAC descobriu que os carros da BMW eram vulneráveis a sequestros devido a uma vulnerabilidade em seu sistema sem fio. Pesquisadores do ADAC descobriram que a vulnerabilidade de segurança no sistema ConnectedDrive da BMW pode imitar servidores da BMW e enviar instruções de desbloqueio remoto para os veículos, facilitando o roubo deles.

O problema foi descoberto pelo Allgemeiner Deutscher Automobil-Club (ADAC), uma associação automobilística alemã, e foi verificado em vários modelos de carros da BMW.

O ataque aproveitou um recurso que permite que motoristas que foram trancados para fora de seus veículos solicitem o desbloqueio remoto de seu carro por meio de uma linha de assistência da BMW.

Durante os testes de software do ADAC, foi descoberto que uma brecha no software poderia permitir que ladrões abrissem as portas/janelas do carro após hackear os dados transmitidos pela rede do carro usando uma estação base de celular replica. Embora houvesse risco de violação de segurança durante a transmissão de dados, a falha não afetaria funções como direção, frenagem ou partida/parada do motor. Outro problema real era que, se um hacker conseguisse abrir as portas do carro, teria fácil acesso às funções a bordo que gerenciam tudo no carro.

Embora o ADAC não tenha apresentado a PoC do hack, mencionou que a falha envolve a funcionalidade ConnectedDrive da BMW. A BMW faz vários aplicativos para smartphones, pelo menos um dos quais, chamado My BMW Remote nos Estados Unidos, permite que o proprietário do carro trancasse e destrancasse o veículo.

Dave Buchko, um porta-voz da BMW, disse: “Eles conseguiram reverter a engenharia de parte do software que usamos para nossa telemática e com isso conseguiram imitar o servidor da BMW.” As subsidiárias da BMW, Rolls-Royce e Mini, também usam o ConnectedDrive. A vulnerabilidade do hack poderia ter colocado cerca de 2,2 milhões de carros em todo o mundo em risco.

A BMW corrigiu ontem a falha de segurança que poderia ter causado vários sequestros de carros se deixada sem correção. Os fabricantes de automóveis alemães afirmam que nenhum caso envolvendo o método PoC do ADAC chegou ao seu conhecimento, nem houve carros comprometidos devido à falha mencionada. No entanto, afirmaram que corrigiram a falha. A partir de ontem, a comunicação interna agora será criptografada usando o padrão Hypertext Transfer Protocol Secure (HTTPS), que também é usado para garantir transações financeiras seguras.

A BMW ainda afirmou que seus clientes não precisam se preocupar com a falha ou tomar qualquer ação, pois seus engenheiros lançaram uma atualização automática que corrigirá a falha assim que o veículo se conectar ao servidor da empresa.