Especialistas da fabricante de
antivírus Kaspersky Lab estudaram o funcionamento de um carregador de veículos
elétricos e descobriram que a interface de controle remoto do dispositivo, que
permite controlar a velocidade da carga por aplicativo, tinha vulnerabilidades
que permitiam a um hacker assumir o controle do dispositivo e enviar comandos
que poderiam até desestabilizar a rede elétrica da vítima.
O estudo conduzido por Dmitry Sklyar se concentrou no ChargePoint Home, um carregador fabricado pela ChargePoint, que já corrigiu as vulnerabilidades encontradas. Porém, com a possibilidade de que outros dispositivos "inteligentes" tenham problemas semelhantes, a Kaspersky Lab levantou a questão: será que vale a pena correr riscos apenas para controlar remotamente um carregador?
Para Sklyar, a Kaspersky Lab teve
"sorte" de encontrar um fabricante que reagiu rápido e bem aos
resultados da pesquisa. Para ele, no entanto, é preciso que fabricantes desses
dispositivos lancem "bug bounties" (programas de recompensas) que
incentivem pesquisadores independentes a buscar falhas em seus produtos.
O ChargePoint Home possui uma
placa com processador e armazenamento, onde é executada uma versão reduzida do
sistema operacional Linux. Esse sistema é responsável pela comunicação e
recepção dos comandos dados pelo usuário. A comunicação do usuário com o
ChargePoint Home ocorre de três maneiras: Wi-Fi, Bluetooth e luz. Esta última é
utilizada no processo que restaura as configurações de fábrica do dispositivo
caso ele não esteja mais conseguindo conectar à rede Wi-Fi, por exemplo.
Quando
acionado, o aplicativo no celular acende a luz do flash da câmera do celular em
uma certa sequência para transmitir o comando à unidade, que vem equipada com
um fotodiodo. Esse recurso já é suficiente para que qualquer pessoa próxima ao
dispositivo consiga reconfigurá-lo com facilidade.
Porém, o maior problema estava em
um servidor web presente no dispositivo, que podia receber determinados
comandos. A autenticação era falha, permitindo que qualquer pessoa conectada à
mesma rede de Wi-Fi do aparelho pudesse enviar comandos e até de enviar
programas específicos para serem executados pela unidade.
De acordo com a pesquisa, seria
possível controlar a corrente usada na carga. Isso poderia sobrecarregar a rede
elétrica, desarmando o disjuntor, queimando um fusível ou até danificando a
instalação por superaquecimento dos fios caso as proteções de sobrecarga não
estejam presentes ou não entrem em ação.Um a tacante também poderia optar
por simplesmente interromper a carregamento, o que deixaria o carro sem bateria
na próxima utilização. De acordo com os pesquisadores da
Kaspersky Lab, a comunicação Bluetooth também não estava livre de falhas.
Porém, elas eram de menor gravidade.
Com a falha corrigida, o
ChargePoint Home agora não expõe mais a porta por onde era possível executar
esses comandos pelo Wi-Fi e só um usuário previamente cadastrado no sistema do
carregador — o que ocorre na configuração da unidade — poderá enviar os
comandos disponíveis pelo aplicativo.
Embora a exploração da falha
fosse limitada a pessoas que estão na mesma rede Wi-Fi, a brecha descoberta
pela Kaspersky Lab ilustra mais um tipo de ataque possível em dispositivos da
"internet das coisas". Como redes Wi-Fi costumam ser compartilhadas
com amigos e às vezes até carecem de autenticação ou senha adequada, não é uma
boa prática adotar um esquema de segurança que dependa exclusivamente do sigilo
da rede.
Para Sklyar, o pesquisador da
Kaspersky Lab, também é preciso considerar que em cenários de ataques
direcionados — quando um hacker busca atacar uma vítima em específico —,
dispositivos menos visados ou ignorados (como é o caso de um carregador
inteligente) são os alvos mais interessantes. "É por isso que é muito
importante procurar por vulnerabilidades, não apenas em inovações técnicas não
pesquisadas, mas também em seus acessórios", explica o especialista.
VerdeSobreRodas, o ponto de encontro com a
mobilidade sustentável
Postagem: Carregador de veículos elétricos revela vulnerabilidades
Publicado no
Verdesobrerodas
Por G1 conteúdo
Nenhum comentário:
Postar um comentário