Cerca de um ano atrás, o pesquisador de segurança Sam Curry comprou um Subaru para sua mãe, com a condição de que, em algum momento no futuro próximo, ela o deixasse hackeá-lo.
Demorou até Curry, no entanto, até novembro passado, quando estava em casa para o Dia de Ação de Graças, para começar a examinar os recursos conectados à internet do Impreza 2023 e procurar maneiras de explorá-los. Certamente, ele e um pesquisador que trabalhava com ele online, Shubham Shah, logo descobriram vulnerabilidades em um portal da web da Subaru que lhes permitiu sequestrar a capacidade de desbloquear o carro, buzinar a buzina e dar partida na ignição, reassumindo o controle desses recursos para qualquer telefone ou computador que escolhessem.
Mais perturbador para Curry, no entanto, foi que eles descobriram que também poderiam rastrear a localização do Subaru – não apenas onde estava no momento, mas também onde havia estado durante todo o ano em que sua mãe o possuía. O mapa dos locais do carro era tão preciso e detalhado, diz Curry, que ele conseguiu ver as visitas ao médico dela, as casas dos amigos que ela visitou, até mesmo qual espaço de estacionamento exato sua mãe ocupava toda vez que ia à igreja.
“Você pode recuperar pelo menos um ano de histórico de localização do carro, onde ele foi pingado precisamente, às vezes várias vezes por dia”, diz Curry. “Se alguém está traindo a esposa ou fazendo um aborto ou fazendo parte de um grupo político, há um milhão de cenários onde isso poderia ser usado contra alguém.”
Curry e Shah revelaram hoje em uma postagem de blog seu método para hackear e rastrear milhões de Subarus, que acreditam que teria permitido hackers direcionar qualquer um dos veículos da empresa equipados com seus recursos digitais conhecidos como Starlink nos EUA, Canadá ou Japão. As vulnerabilidades que encontraram em um site da Subaru destinado aos funcionários da empresa lhes permitiram sequestrar a conta de um funcionário para reassumir o controle dos recursos Starlink dos carros e também acessar todos os dados de localização dos veículos disponíveis para os funcionários, incluindo a localização do carro toda vez que seu motor era ligado.
Curry e Shah relataram suas descobertas à Subaru no final de novembro, e a Subaru rapidamente corrigiu suas falhas de segurança do Starlink. Mas os pesquisadores alertam que as vulnerabilidades da web da Subaru são apenas as mais recentes em uma longa série de falhas semelhantes baseadas na web que eles e outros pesquisadores de segurança trabalhando com eles encontraram que afetaram mais de uma dúzia de montadoras, incluindo Acura, Genesis, Honda, Hyundai, Infiniti, Kia, Toyota e muitas outras. Não há dúvida, dizem eles, de que bugs hackeáveis igualmente sérios existem nas ferramentas da web de outras empresas automotivas que ainda não foram descobertas.
No caso da Subaru, em particular, eles também apontam que sua descoberta sugere como aqueles com acesso ao portal da Subaru podem rastrear os movimentos de seus clientes, uma questão de privacidade que durará muito mais do que as vulnerabilidades da web que a expuseram. “O problema é que, mesmo que isso tenha sido corrigido, essa funcionalidade ainda existirá para os funcionários da Subaru”, diz Curry. “É apenas uma funcionalidade normal que um funcionário pode acessar um ano de seu histórico de localização.”
Quando a WIRED entrou em contato com a Subaru para comentar sobre as descobertas de Curry e Shah, um porta-voz respondeu em uma declaração que “após ser notificada por pesquisadores de segurança independentes, [a Subaru] descobriu uma vulnerabilidade em seu serviço Starlink que poderia potencialmente permitir que um terceiro acessasse contas do Starlink. A vulnerabilidade foi imediatamente fechada e nenhuma informação do cliente foi acessada sem autorização.”
O porta-voz da Subaru também confirmou à WIRED que “existem funcionários da Subaru da América, com base na relevância de seu trabalho, que podem acessar dados de localização.” A empresa ofereceu como exemplo que os funcionários têm acesso para compartilhar a localização de um veículo com os primeiros socorros no caso de um acidente ser detectado. “Todos esses indivíduos recebem treinamento adequado e são obrigados a assinar acordos apropriados de privacidade, segurança e NDA, conforme necessário”, acrescentou a declaração da Subaru. “Esses sistemas têm soluções de monitoramento de segurança em vigor que estão continuamente evoluindo para atender às ameaças cibernéticas modernas.”
Respondendo ao exemplo da Subaru de notificar os primeiros socorros sobre um acidente, Curry observa que isso dificilmente exigiria um histórico de localização de um ano. A empresa não respondeu à WIRED perguntando quanto tempo mantém os históricos de localização dos clientes e os disponibiliza para os funcionários.
A pesquisa de Shah e Curry que os levou à descoberta das vulnerabilidades da Subaru começou quando descobriram que o aplicativo Starlink da mãe de Curry se conectava ao domínio SubaruCS.com, que perceberam ser um domínio administrativo para funcionários. Vasculhando esse site em busca de falhas de segurança, descobriram que poderiam redefinir as senhas dos funcionários simplesmente adivinhando seus endereços de e-mail, o que lhes deu a capacidade de assumir qualquer conta de funcionário cujo e-mail pudessem encontrar. A funcionalidade de redefinição de senha realmente pedia respostas a duas perguntas de segurança, mas eles descobriram que essas respostas eram verificadas com um código que rodava localmente no navegador do usuário, e não no servidor da Subaru, permitindo que a proteção fosse facilmente contornada. “Havia realmente várias falhas sistêmicas que levaram a isso”, diz Shah.
Os dois pesquisadores dizem que encontraram o endereço de e-mail de um desenvolvedor do Starlink da Subaru no LinkedIn, assumiram a conta do funcionário e imediatamente descobriram que poderiam usar o acesso desse funcionário para procurar qualquer proprietário de Subaru pelo sobrenome, código postal, endereço de e-mail, número de telefone ou placa do veículo para acessar suas configurações do Starlink. Em segundos, eles poderiam então reassumir o controle dos recursos Starlink do veículo daquele usuário, incluindo a capacidade de desbloquear remotamente o carro, buzinar a buzina, dar partida na ignição ou localizá-lo.
Apenas essas vulnerabilidades, para os motoristas, apresentam sérios riscos de roubo e segurança. Curry e Shah apontam que um hacker poderia ter direcionado uma vítima para perseguição ou roubo, procurado a localização de um veículo de alguém, então desbloqueado seu carro a qualquer momento – embora um ladrão tivesse que usar uma técnica separada para desativar o imobilizador do carro, o componente que impede que ele seja dirigido sem uma chave.
Essas técnicas de hackeamento e rastreamento de carros não são de forma alguma únicas. No verão passado, Curry e outro pesquisador, Neiko Rivera, demonstraram à WIRED que poderiam realizar um truque semelhante com qualquer um dos milhões de veículos vendidos pela Kia. Ao longo dos dois anos anteriores, um grupo maior de pesquisadores, do qual Curry e Shah fazem parte, descobriu vulnerabilidades de segurança baseadas na web que afetaram carros vendidos pela Acura, BMW, Ferrari, Genesis, Honda, Hyundai, Infiniti, Mercedes-Benz, Nissan, Rolls Royce e Toyota.
Mais incomum no caso da Subaru, Curry e Shah dizem que foram capazes de acessar dados de localização históricos e detalhados para Subarus que remontam a pelo menos um ano. A Subaru pode, de fato, coletar dados de localização por vários anos, mas Curry e Shah testaram sua técnica apenas na Subaru da mãe de Curry, que a possuía há cerca de um ano.
Curry argumenta que o extenso rastreamento de localização da Subaru é uma demonstração particularmente perturbadora da falta de salvaguardas de privacidade da indústria automotiva em relação à sua crescente coleção de dados pessoais sobre os motoristas. “É meio maluco”, diz ele. “Há uma expectativa de que um funcionário do Google não vai poder simplesmente vasculhar seus e-mails no Gmail, mas há literalmente um botão no painel administrativo da Subaru que permite que um funcionário veja o histórico de localização.”
O trabalho dos dois pesquisadores contribui para uma crescente preocupação sobre a enorme quantidade de dados de localização que as empresas de automóveis coletam. Em dezembro, informações que um denunciante forneceu ao coletivo hacker alemão Chaos Computer e Der Spiegel revelaram que a Cariad, uma empresa de software que faz parceria com a Volkswagen, havia deixado dados de localização detalhados de 800.000 veículos elétricos expostos publicamente online. Pesquisadores de privacidade da Mozilla Foundation em setembro alertaram em um relatório que “carros modernos são um pesadelo de privacidade”, observando que 92 por cento dão aos proprietários de carros pouco ou nenhum controle sobre os dados que coletam, e 84 por cento se reservam o direito de vender ou compartilhar suas informações. (A Subaru diz à WIRED que “não vende dados de localização.”)
“Enquanto nos preocupávamos que nossas campainhas e relógios conectados à internet poderiam estar espionando nós, as marcas de automóveis entraram silenciosamente no negócio de dados ao transformar seus veículos em poderosas máquinas devoradoras de dados”, lê-se no relatório da Mozilla.
A descoberta das vulnerabilidades de segurança da Subaru em seu rastreamento demonstra uma exposição particularmente grave desses dados – mas também um problema de privacidade que é igualmente perturbador agora que as vulnerabilidades foram corrigidas, diz Robert Herrell, diretor executivo da Consumer Federation of California, que tem buscado criar legislação para limitar o rastreamento de dados dos carros.
“Parece que há um monte de funcionários na Subaru que têm uma quantidade assustadora de informações detalhadas”, diz Herrell. “As pessoas estão sendo rastreadas de maneiras que elas não têm ideia de que estão acontecendo.