A Fiat publicou uma lista completa dos 1.4 milhões de automóveis que estão a ser recolhidos para tapar o "buraco" que permitiu a 2 hackers tomarem conta de um Jeep Cherokee via o sistema multimédia Uconnect com ecrã de 8,4 polegadas com ligação à internet - e pelos vistos, das que podem chegar à Europa, apenas os mais recentes Jeep Grand Cherokee e Cherokee parecem ser afectados. Mas eis a lista completa.
- Dodge Viper 2013-15
- Ram Pickups 1500, 2500 e 3500 2013-15
- Ram Chassis Cabs 3500, 4500, 5500 2013-15
- Jeep Grand Cherokee e Cherokee 2014-15
- Dodge Durango 2014-15
- Chrysler 200, Chrysler 300 e Dodge Charger 2015
- Dodge Challenger 2015
Mas é o momento para largarmos os automóveis e correr para as montanhas porque muito em breve a nossa sogra poderá tomar conta do nosso automóvel? Sinceramente, e depois de ler bem o artigo da Wired e uma outra entrevista, creio que não é motivo para alarme.
Antes de mais isto não foi feito por uma pessoa Charlie Miller e Chris Valasek são 2 peritos em segurança informática que andam a estudar os sistemas automoveis há vários anos e foram os autores de vários artigos neste campo. Chegaram a tomar conta de um Prius há uns anos atrás mas apenas depois de desmontarem metade da electrónica do carro e tinham que estar no banco traseiro com os portáteis ligados directamente ao carro para conseguirem influenciar o automóvel.
Mas este episódio é novo acima de tudo porque não tiveram que fazer nada ao carro e conseguiram-no fazer à distancia via a Internet. Usando um software por eles desenvolvido conseguiram entrar na rede informática destes sistemas Uconnect e "ver" as marcas, modelos, códigos vin, moradas IP e coordenadas GPS de cada automóvel. Com essa informação conseguiam ver que sistemas eram vulneráveis e depois de introduzirem o seu código no firmware do sistema multimédia este passava a aceitar todo o genero de comandos do exterior para sistemas internos que não devia aceder.
Miller e Valasek dizem que apenas os sistemas Uconnect instalados entre o fim de 2013 e início de 2015 são vulneráveis, estimando que cerca de meio milhão de automóveis estão afectados. Mesmo assim, como podemos ver pela lista acima a FCA está a recolher um número ainda mais elevado de automóveis.
Depois de meses a estudarem com sucesso estes sistemas ambos foram ter com a Fiat e mostraram-lhes o que encontraram, mostrando-lhes o que era necessário fazer para tapar o buraco. Não o fizeram por maldade ou recompensa, fizeram-no porque queriam mostrar que podia ser feito - e com isso levantaram uma lebre muito importante. É que sempre que se falava nisto os construtores automoveis entravam sempre na mesma lenga-lenga de que "eles levam a segurança muito a sério, e todos os que fizeram isso foi porque desmontaram o carro e tinham que estar fisicamente ao carro, tinham equipas a estudar estes sistemas, logo não podia ser feito" - seguindo a velha máxima de Scotty do Star Trek: quando mais se complica a tubagem, mais facil é de bloquear o ralo. Ao tornarem este assunto publico Miller e Valasek colocaram a industria automovel de sobre-aviso para que revejam os seus sistemas e com isso tornar os automoveis mais seguros.
- Dodge Viper 2013-15
- Ram Pickups 1500, 2500 e 3500 2013-15
- Ram Chassis Cabs 3500, 4500, 5500 2013-15
- Jeep Grand Cherokee e Cherokee 2014-15
- Dodge Durango 2014-15
- Chrysler 200, Chrysler 300 e Dodge Charger 2015
- Dodge Challenger 2015
Mas é o momento para largarmos os automóveis e correr para as montanhas porque muito em breve a nossa sogra poderá tomar conta do nosso automóvel? Sinceramente, e depois de ler bem o artigo da Wired e uma outra entrevista, creio que não é motivo para alarme.
Antes de mais isto não foi feito por uma pessoa Charlie Miller e Chris Valasek são 2 peritos em segurança informática que andam a estudar os sistemas automoveis há vários anos e foram os autores de vários artigos neste campo. Chegaram a tomar conta de um Prius há uns anos atrás mas apenas depois de desmontarem metade da electrónica do carro e tinham que estar no banco traseiro com os portáteis ligados directamente ao carro para conseguirem influenciar o automóvel.
Mas este episódio é novo acima de tudo porque não tiveram que fazer nada ao carro e conseguiram-no fazer à distancia via a Internet. Usando um software por eles desenvolvido conseguiram entrar na rede informática destes sistemas Uconnect e "ver" as marcas, modelos, códigos vin, moradas IP e coordenadas GPS de cada automóvel. Com essa informação conseguiam ver que sistemas eram vulneráveis e depois de introduzirem o seu código no firmware do sistema multimédia este passava a aceitar todo o genero de comandos do exterior para sistemas internos que não devia aceder.
Miller e Valasek dizem que apenas os sistemas Uconnect instalados entre o fim de 2013 e início de 2015 são vulneráveis, estimando que cerca de meio milhão de automóveis estão afectados. Mesmo assim, como podemos ver pela lista acima a FCA está a recolher um número ainda mais elevado de automóveis.
Depois de meses a estudarem com sucesso estes sistemas ambos foram ter com a Fiat e mostraram-lhes o que encontraram, mostrando-lhes o que era necessário fazer para tapar o buraco. Não o fizeram por maldade ou recompensa, fizeram-no porque queriam mostrar que podia ser feito - e com isso levantaram uma lebre muito importante. É que sempre que se falava nisto os construtores automoveis entravam sempre na mesma lenga-lenga de que "eles levam a segurança muito a sério, e todos os que fizeram isso foi porque desmontaram o carro e tinham que estar fisicamente ao carro, tinham equipas a estudar estes sistemas, logo não podia ser feito" - seguindo a velha máxima de Scotty do Star Trek: quando mais se complica a tubagem, mais facil é de bloquear o ralo. Ao tornarem este assunto publico Miller e Valasek colocaram a industria automovel de sobre-aviso para que revejam os seus sistemas e com isso tornar os automoveis mais seguros.
Post original de 23-07-2015
Desde que a tecnologia começou a tomar conta do automóvel que muitos temem o dia em que alguém possa "tomar conta" do automóvel - e se até agora todos os casos que surgiram nas noticias eram demonstrações em que era preciso extensa alteração do automóvel ou estar mesmo dentro dele para que alguém possa controlar o automóvel a partir de um computador. Mas a revista Wired publicou um artigo sobre como hackers conseguiram explorar uma falha de segurança no sistema multimédia Uconnect usado nos automóveis da Fiat e Chrysler.
Segundo este artigo, os hackers Charlie Miller e Chris Valasek conseguiram controlar via internet um Jeep Cherokee não modificado enquanto este circulava numa autoestrada de St. Louis conduzido por um jornalista da Wired. Eles encontraram uma falha presente em alguns sistemas multimédia Uconnect com ligação à internet e conseguiram mexer no rádio, escovas limpa-vidros, desligar o motor, controlar a direção se estivesse em marcha atrás e mesmo desligar os travões...
Os hackers notificaram a FCA antes da publicação do artigo na Wired e desde então já saiu uma atualização para o sistema - só um problema: apesar do sistema Uconnect ter uma ligação à internet não se atualiza automaticamente, só via uma pin ou num concessionário. Ainda estou a tentar verificar se este problema afecta as versões europeias mas sem sucesso.
Os sistemas multimédia começaram apenas como "rádios mais evoluídos" mas para acrescentar funções aos automóveis sem terem que acrescentar botões os construtores concentram tudo no sistema multimédia, o que lhe dá acesso completo à rede informática do automóvel. A título de exemplo, para simplificar os sistemas elétricos e eletrónicos do novo XC90 a Volvo construiu-os em torno do sistema multimédia - de um terminal passou a ser um centro nevrálgico do automóvel: dele podemos definir não só o rádio, como configurar os assentos, aceder à internet, definir a resposta do motor e travões, e se considerarmos que muitos automóveis já têm sistemas de estacionamento automático ou condução semiautónoma é fácil ficar preocupado com o que pode ser feito se alguém aceder ao nosso automóvel.
Há 2 outras questões acessórias que não posso deixar de referir porque também me preocupam. Primeiro estes hackers fizeram um trabalho louvável ao identificar a falha e informarem a Fiat do problema para que esta feche o problema antes de tornar o assunto público, mas sinceramente quem é que no seu bom senso acha boa ideia testar isto num automóvel que circulava em estrada aberta rodeado por outros condutores?! Não havia uma pista que podiam ter alugado?
A segunda questão é que temos na Europa algo chamado de "Direito de reparar" que é basicamente uma legislação que obriga os construtores a construírem o automóvel de forma a que qualquer oficina o possa reparar - o que soa bem. Excepto que ao fazer isso também significa que deixamos a porta aberta para abuso como os inúmeros casos de roubo de viaturas porque os ladrões conseguem reprogramar a eletrónica do alvo para que este aceite a chave que têm na mão. Agora vamos deixar qualquer um reprogramar estes sistemas multimédia?
0 comentários:
Enviar um comentário