MirrorLink da Connected Car Consortium é o primeiro padrão da indústria para conectar smartphones a sistemas de infoentretenimento em veículos (IVI). Uma pesquisa abrangente recente, intitulado ‘Uma análise de segurança de uma plataforma de informação e entretenimento no veículo’ e realizada por Damon McCoy, um professor assistente na NYU Tandon School of Engineering e um grupo de alunos na George Mason University, vulnerabilidades divulgadas no MirrorLink.
Pesquisadores encontram vulnerabilidades no MirrorLink
As vulnerabilidades podem permitir que um invasor acesse um veículo por meio de um smartphone. Isso pode ser feito mesmo quando MirrorLink está desativado. Os resultados da pesquisa foram apresentados no 10º Workshop USENIX sobre tecnologias ofensivas (WOOT '16) em Austin, Texas.
A pesquisa em si é considerada a primeira segurança empírica abrangente análise de um smartphone para protocolo de aplicativo IVI moderno incluído em pelo menos um 2015 modelo de veículo de um grande fabricante automotivo.
Este sistema IVI inclui suporte vestigial para o protocolo MirrorLink. Embora este protocolo esteja desabilitado por padrão, pode ser habilitado alterando um único valor de configuração após uma atualização de firmware disponível publicamente que é assinada com segurança pelo fabricante.
Alguns fabricantes de automóveis optam por desativar o MirrorLink e usar um padrão diferente de smartphone para IVI. Contudo, os pesquisadores descobriram que MirrorLink é fácil de habilitar. Quando está desbloqueado, o invasor pode usar um smartphone conectado e assumir componentes cruciais para a segurança, como o sistema de frenagem antibloqueio do veículo. A pior parte é que os sintonizadores, pessoas ou empresas que personalizam automóveis, pode ajudar inadvertidamente hackers malvados, desbloqueando recursos não seguros.
McCoy disse particularmente que os sintonizadores procurarão por tais protótipos e na verdade desbloqueariam sistemas vulneráveis. além disso, instruções sobre como desbloquear MirrorLink podem ser encontradas até mesmo no YouTube! Um desses vídeos instrutivos foi visto mais de 60,000 vezes! Curiosamente, os próprios pesquisadores usaram essas informações públicas para desbloquear o MirrorLink em um veículo de teste que compraram no eBay.
A montadora e o fornecedor se recusaram a lançar um patch de segurança. Quanto ao porquê, eles destacaram o fato de que nunca habilitaram o MirrorLink em primeiro lugar. McCoy avisa que esta é uma má notícia para os motoristas que habilitam MirrorLink.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: