Um grupo de pesquisadores alertou sobre uma vulnerabilidade crítica encontrada em um aplicativo de carros que permitia o controle remoto de veículos conectados, com a capacidade de realizar ações como mudar de marcha ou até mesmo desligar o motor enquanto o carro está em movimento.
A descoberta foi anunciada pela empresa de segurança cibernética Kaspersky em seu evento Security Analyst Summit 2025, onde apresentou os resultados de uma auditoria de segurança feita em um grande fabricante de automóveis.
A vulnerabilidade de “dia zero” foi encontrada na infraestrutura da empresa terceirizada responsável pelo aplicativo vinculado aos carros, o que permitiu que os pesquisadores assumissem o controle do sistema de telemática dos veículos, colocando em risco a segurança de motoristas e passageiros.
Vulnerabilidade de “dia zero” é uma falha de software descoberta por invasores antes que o fornecedor tome conhecimento, o que aumenta a probabilidade de o ataque ser bem-sucedido.
Os pesquisadores da Kaspersky percorreram diversos caminhos dentro do sistema das empresas até obterem informações confidenciais sobre a configuração da infraestrutura telemática da montadora e depois acessar os veículos.
Os especialistas conseguiram acessar o sistema que interconecta componentes como o motor, os sensores e a transmissão, chamado de barramento CAN (Controller Area Network), para manipular o comportamento do veículo. Além disso, eles continuaram tentando acessar mais componentes e obtiveram o controle de outros sistemas críticos que lhes permitiram manipular funções essenciais do veículo, como desligar o motor enquanto o carro estava funcionando, colocando em risco os ocupantes do carro.
Falhas bastante comuns no setor automotivo
Após essa investigação, os especialistas em segurança cibernética esclareceram que as vulnerabilidades detectadas nesses serviços se devem a falhas que são “bastante comuns no setor automotivo”, como o uso de serviços públicos da Web, senhas fracas, ausência de autenticação de dois fatores (2FA) e armazenamento de dados confidenciais sem filtragem.
“Esse caso demonstra como uma única violação na infraestrutura de um fornecedor pode levar ao comprometimento total de todos os veículos conectados”, disse Artem Zinenko, chefe de pesquisa de vulnerabilidades da Kaspersky ICS Cert.
Portanto, a empresa destacou a necessidade do setor de priorizar práticas de segurança robustas, com ênfase nos sistemas de terceiros em uso.
Com isso em mente, a Kaspersky recomendou que as empresas contratadas restrinjam o acesso a serviços da Web via VPN, isolem os serviços públicos do restante da rede corporativa e apliquem políticas mais rígidas de senha e autenticação, entre outras preocupações de segurança.
Por sua vez, os fabricantes devem limitar o acesso à plataforma de telemática a partir da rede do veículo, bem como tomar medidas mais específicas, como usar listas de permissões para controlar as interações de rede, desativar a autenticação de senha SSH e garantir a autenticidade dos comandos executados nas TCUs.
Com informações da agência Europa Press
