Como proteger seu veículo inteligente de ataques cibernéticos

Fiquei empolgado quando comprei meu veículo atual, principalmente porque ele vinha com alguns recursos interessantes, como carregador de telefone sem fio, transferência de dados de telefone para carro, varredura em tempo real de placas de rua e sensores.

Eu também poderia usar um aplicativo para ligar o veículo, trancar as portas e definir e monitorar a velocidade. Também havia a opção de conectar o veículo à minha rede doméstica ou transformá-lo em um ponto de acesso.

No entanto, fui sacudido de meu devaneio pela percepção repentina de que conectar meu telefone ao carro me expõe a possíveis riscos de segurança cibernética. Afinal, 7,3% dos incidentes que afetaram veículos conectados entre 2010 e 2021 envolveram um aplicativo móvel complementar.

O roubo de carros remotamente não é apenas uma fantasia de Hollywood

Minha preocupação com possíveis incidentes cibernéticos não se devia ao retrato de Hollywood de veículos hackeados, como em Velozes e Furiosos 8 . Há evidências que apontam para a possibilidade de veículos serem hackeados e sequestrados.

os pesquisadores mataram com sucesso o motor de um carro em movimento, explorando um dongle vulnerável do Bosch Drivelog Connector. Um pesquisador de segurança, , acessou remotamente dezenas de Teslas espalhados pelo mundo devido a uma vulnerabilidade no software de registro TeslaMate.

Os pesquisadores de segurança cibernética não eram os únicos interessados em explorar vulnerabilidades em automóveis conectados. De acordo com um , os ataques cibernéticos a veículos aumentaram 225% em 2021 em relação a 2018, enquanto os agentes de ameaças foram responsáveis por 54,1% dos incidentes.

Cerca de 85% dos ataques foram executados remotamente, 40% visaram servidores back-end, 38% envolveram violações de dados/privacidade e 20% afetaram sistemas de controle. A entrada sem chave e os ataques de chaveiro representaram 50% de todos os roubos de veículos.

Um aumento em ataques foram observados no primeiro semestre de 2022, abrindo caminho para interrupções em larga escala dos recursos de carregamento, comprometimento de privilégios administrativos e ataques de ransomware contra usuários de veículos elétricos.

Algumas das formas usadas para comprometer veículos inteligentes incluem manipulação de códigos e dados internos, envio de mensagens prejudiciais por meio de sistemas de infoentretenimento, exploração de vulnerabilidades em software e dispositivos conectados, comprometimento de acesso privilegiado, incorporação de vírus em mídia de comunicação, sequestro de servidores para comunicar códigos maliciosos a veículos em rede , e implantação de ataques de negação de serviço para causar o mau funcionamento dos veículos.

Os vetores de ameaças emergentes estão se mostrando muito perturbadores. Foi observado um aumento nos ataques que exploram vulnerabilidades em APIs para acessar e controlar veículos remotamente, roubá-los e interromper funcionalidades críticas.

Os agentes de ameaças também usam estações de carregamento para atacar veículos elétricos, cometer fraudes de representação e interromper a capacidade de carregar veículos elétricos em escala.

O risco de veículos conectados é uma ameaça iminente emergente

Como qualquer outro dispositivo da Internet das coisas (IoT), os veículos conectados são suscetíveis a riscos de segurança cibernética. O infame ataque de botnet Mirai em 2016 transformou em arma muitos dispositivos IoT para causar ataques de negação de serviço distribuído (DDoS) distribuídos globalmente.

Nos EUA, quase metade das organizações que usam uma rede IoT foi atingida por uma violação de segurança, resultando em perdas financeiras significativas. A possibilidade de armar veículos inteligentes é alcançável se os controles de segurança cibernética apropriados não estiverem em vigor.

Vulnerabilidades e enumerações comuns (CVEs) encontradas em veículos inteligentes aumentaram 321% em 2021 em relação a 2020.

Houve 26 críticas e 70 altas que incluía emparelhamento Bluetooth não autorizado (CVE-2021-0583) e uma vulnerabilidade do sistema operacional de infoentretenimento no veículo (CVE-2021-22156) que poderia ser usada para executar um ataque DoS.

Veículos conectados e estações de carregamento executando bibliotecas Apache Log4j são suscetíveis a vulnerabilidades Log4Shell (CVE-2021-44228, CVE-2021-45046 e CVE-2021-45105).

Essas vulnerabilidades foram exploradas para infraestrutura de veículo para rede (V2G), atualizações de firmware over-the-air (FOTA), sistemas de infoentretenimento (IVI) no veículo e chaves digitais que controlam funcionalidades veiculares críticas.

As ameaças cibernéticas emergentes contra veículos conectados incluem ameaças aos canais de comunicação (89,3%), ameaças aos dados/código do veículo (87,7%), vulnerabilidades não corrigidas (50,8%), ameaças à conectividade e conexões do veículo (47,1%) e ameaças aos servidores de back-end ' conectividade (24,1%).

Com o crescimento das redes de tecnologia veículo-para-tudo (V2X) e celular veículo-para-tudo (CV2X), as oportunidades são infinitas para os agentes de ameaças explorarem.

Essa rede inclui veículo para pedestre (V2P), veículo para rede (V2N), veículo para veículo (V2V), veículo para nuvem (V2C), veículo para rede (V2G) e veículo para infraestrutura (V2I).

Qualquer vulnerabilidade no ecossistema pode ser armada para causar perturbações em massa, incluindo riscos de segurança.

Com o crescimento de veículos mais inteligentes, há um risco maior

O mercado de veículos conectados está projetado para crescer para US$ 121 bilhões até 2025. Até 2023, a indústria automotiva global está prevista para entregar mais de 76 milhões de veículos conectados.

A conectividade 5G está definida para transformar a experiência automotiva por meio de telemática aprimorada, estacionamento automatizado na fábrica, sistemas avançados de assistência ao motorista, direção autônoma, dados contínuos e conectividade celular.

Estima-se que um veículo inteligente gere 25 GB de dados por hora até 2025, superando a navegação na web ou as atividades de streaming de vídeo.

O crescimento e a transformação da indústria automotiva ampliam a superfície de ataque e ampliam a exposição a riscos comerciais significativos. Segundo o , a previsão para o mercado de veículos conectados é de US$ 215 bilhões até 2027.

No entanto, até 2024, estima-se que a indústria perderá mais de US$ 500 bilhões para . É seguro supor que a maior parte dos ganhos do mercado de veículos inteligentes seria eliminada por ataques cibernéticos.

Além dos padrões regulatórios de segurança cibernética, como os regulamentos WP.29 R1552 e R1563 da Comissão Econômica das Nações Unidas para a Europa (UNECE) e o padrão ISO/SAE 21434, os fabricantes de veículos inteligentes devem priorizar controles de segurança adequados para reduzir a superfície de ataque e minimizar a exploração bem-sucedida de vulnerabilidades .

Coisas que você pode fazer para proteger seu veículo inteligente

A proteção de veículos conectados não é responsabilidade apenas dos fabricantes de veículos. Os proprietários de veículos têm um papel a desempenhar para minimizar o acesso e as violações de dados. Seguir essas recomendações simples tornará difícil para os criminosos roubarem seus dados ou veículo.

• Limite as informações pessoais compartilhadas com seu veículo inteligente, incluindo como você salva seu endereço residencial (curiosamente, depois que meu carro foi atualizado, ele solicitou que eu configurasse um perfil de usuário com minha chave inteligente - você adivinhou certo, recusei a configuração).

• Mantenha seu celular atualizado e certifique-se de que os aplicativos são seguros para instalar. Aplicativos infectados podem ser usados para comprometer telefones e veículos conectados.

• Não sincronize seu telefone com veículos alugados. Você pode estar deixando muita informação do que o desejado.

• Atualize o firmware quando disponível, mas não em movimento. Você não pode prever o que a nova atualização afetará, então você quer fazer isso com segurança.

• Certifique-se de que os dispositivos conectados, como dongles USB, estejam livres de malware.

• Tente ao máximo evitar conectar seu veículo à sua rede doméstica. Se necessário, mantenha a conexão em um canal dedicado.

• Esteja ciente de seus arredores ao usar chaveiros. Se o seu veículo estiver equipado com uma entrada sem chave na porta, use-a para travar/destravar o veículo em vez do chaveiro.

• Carregue seus veículos elétricos apenas em estações dedicadas com controle de dissuasão adequado (por exemplo, câmeras de vigilância).

• Ao se conectar às redes sociais por meio de seu veículo, tome cuidado para não clicar em links suspeitos.

• Esteja ciente de que, se o seu veículo puder se conectar à Internet, ele poderá baixar software malicioso. Esteja ciente dos sites que você visita.

• Se você perceber que seu painel está exibindo algo estranho, é melhor não dirigir até ter certeza de que o sistema de infoentretenimento não foi mexido.

Pegue a estrada com confiança

A possibilidade de um ataque cibernético não deve impedi-lo de aproveitar seu veículo inteligente. Fazer escolhas de segurança inteligentes, conforme recomendado acima, permite que você explore os recursos interessantes que seu veículo conectado oferece sem comprometer sua segurança.

Além disso, os fabricantes automotivos devem garantir que os princípios de engenharia seguros sejam integrados em todas as fases do ciclo de vida do desenvolvimento do veículo.

Os fornecedores terceirizados desempenham um papel significativo na manutenção da integridade dos veículos conectados, implementando controles adequados para minimizar a exploração de vulnerabilidades na cadeia de suprimentos digital.