O CARRO À DISTÂNCIA: O carro médio tem mais de 150 milhões de linhas de código de computador / Thomas James/The New York Times
Da Redação
Publicado em 1 de abril de 2019 às 15h20.
Última atualização em 1 de abril de 2019 às 15h21.
Uma década atrás, os carros foram alvo de hackers, alguns dos quais acabaram trabalhando com a indústria, e outros, agindo maliciosamente. Mas os veículos agora carregam muito mais equipamentos eletrônicos, e o carro autônomo, que depende de sensores, câmeras e radares, chegará um dia, com inúmeros alvos novos.
A preocupação de que os carros poderiam ser seriamente hackeados – por criminosos, terroristas ou mesmo governos desonestos – levou a uma nova rodada de esforços de segurança por parte da indústria automobilística.
Em 2010, um ex-funcionário descontente do Texas Auto Center, em Austin, Texas, usou a conta de um colega de trabalho para entrar no software da empresa usado para a reintegração de posse de veículos. Ele inutilizou mais de 100 carros, e os proprietários que estavam com o pagamento em dia de repente encontraram seus veículos buzinando furiosamente e impossibilitados de dar a partida.
Em 2015, um hacker veterano chamado Samy Kamkar construiu um dispositivo de menos de US$ 100 que, segundo ele, poderia encontrar, desbloquear e dar a partida remotamente em qualquer carro da General Motors equipado com o sistema de comunicações OnStar. Felizmente, Kamkar estava agindo como um “white hat”, e não vendendo seu dispositivo para hackers sem escrúpulos.
“Trabalhei com a GM para resolver esse problema”, disse ele, e essa vulnerabilidade foi eliminada. “Os carros estão ficando mais seguros, mas leva tempo para instalar o novo software e o hardware necessários.”
Dan Flores, porta-voz de segurança cibernética da GM, confirmou a colaboração com Kamkar. “Reconhecemos a importância do trabalho que pesquisadores como Samy fazem para ajudar a avançar o trabalho nessa área”, disse ele em um e-mail.
Proteger carros é um grande desafio, razão pela qual algumas empresas que tradicionalmente preferem fazer tudo sozinhas se uniram para compartilhar as melhores práticas.
Ameaças digitais a carros autônomos, de acordo com um relatório de 2018 da Universidade de Michigan, “incluem hackers que tentam assumir o controle ou desligar um veículo, criminosos que podem tentar roubar o automóvel ou seus passageiros e ladrões que o direcionam para o desmanche local”.
O carro médio tem mais de 150 milhões de linhas de código de computador, e alguns têm até mais que um Boeing 787, de acordo com um relatório de 2018 da KPMG. Essa complexidade, segundo o relatório, “cria um risco real de ciberataque – um risco que muitas empresas na indústria automobilística podem estar subestimando”.
Essa visão é generalizada. “Para mim, as montadoras ficaram um tanto surpresas e foram pegas desprevenidas por essa ameaça”, disse Doug Newcomb, analista da indústria na Wards Intelligence. “Elas adicionaram toda essa conectividade, mas se afobaram, nem sempre pensando nas vulnerabilidades existentes. É uma questão de longo prazo, não a ideia de consertar e esquecer.”
A falha na proteção ao consumidor pode ser cara, disse Steve Tengler, diretor da empresa de consultoria Kugler Maag Cie, que trabalhou na Ford, na Nissan e na GM, e foi diretor de cibersegurança de veículos conectados na Honeywell.
As montadoras estão legalmente obrigadas a fornecer proteção de última geração para seus carros, disse Tengler. “Os precedentes legais mostram que não é suficiente fornecer um produto que seja só um pouco seguro. As empresas não têm de falir ao fornecer a tecnologia mais segura, mas precisam trabalhar dentro de sua capacidade comercial.”
Uma vez que um carro perde a garantia, as montadoras costumam cortar, ou pelo menos afrouxar, seus laços. Mas os problemas de hacking significam que a proteção provavelmente exigirá monitoramento desde a fábrica até o ferro-velho.
Em 2015, a Fiat Chrysler fez recall de 1,4 milhão de carros e caminhões depois que Chris Valasek e Charlie Miller demonstraram, em um artigo da revista “Wired”, que podiam controlar remotamente os freios, o rádio, os limpadores e outras funções de um Jeep Cherokee, ganhando acesso por meio do sistema de entretenimento UConnect.
A empresa não quis comentar quaisquer alterações de segurança subsequentes.
André Weimerskirch, vice-presidente de segurança cibernética e de segurança funcional da Lear Corp., afirmou que as montadoras fizeram “enormes melhorias” nos últimos anos e que os esforços conjuntos envolvendo a indústria, a academia e as organizações de padrões também geraram ganhos.
A maioria dos hackers de carros não tem intenção criminal, mas imaginar o que poderia acontecer levou à formação, em 2015, do Centro de Compartilhamento e Análise de Informações Automotivas, conhecido como Auto-ISAC. Quase todas as montadoras mundiais são membros.
Faye Francy, diretora-executiva do centro, descreveu o episódio do Jeep como “um bom alerta para a indústria”.
“Os hackers são espertos, muito capazes. Não é simples fazer o que fizeram. Tivemos sorte por não ter surgido outra brecha, mas isso não é impossível.”
Não é impossível, mas ainda é difícil. Ron Plesco, diretor da KPMG Cyber Security Services, concorda que invadir os controles de direção de um carro exige “muito conhecimento e dedicação”.
“Não é tão fácil como Hollywood diz ser”, afirmou ele.
Essa é uma razão pela qual não vimos mais ataques importantes. Mas Plesco argumenta que hoje não há muito incentivo para os ladrões, pois a informação de identidade armazenada nos veículos é bastante limitada.
“Mas isso está prestes a mudar, à medida que as compras por intermédio do painel do carro vão sendo facilitadas. O automóvel está se tornando outro computador que pode ser hackeado.”
As novas características de infoentretenimento e de autonomia são importantes aspectos de venda, mas, como a maioria dos consumidores supõe que seu carro é seguro, as montadoras tendem a manter as notícias sobre a cibersegurança em segundo plano. Mas muita coisa está acontecendo nos bastidores. Algumas empresas privadas de segurança contam que estão se aliando às principais montadoras para fornecer proteção especializada.
“Há várias maneiras que os hackers podem usar para entrar, e é função de toda a indústria se defender contra isso”, disse Dan Sahar, vice-presidente da Upstream Security, em Israel. “Apenas um hack pode gerar dezenas de milhões de dólares de prejuízo a um fabricante, e isso sem falar no dano à marca. E a ameaça está ficando mais séria.”
De acordo com Sahar, “em 2018 houve mais de 60 incidentes de cibersegurança documentados relacionados aos automóveis, um aumento de seis vezes em apenas quatro anos”.
A Upstream está trabalhando com alguns fabricantes, disse Sahar. “As montadoras estão voltadas para a cibersegurança, mas poucas dizem que podem fazê-lo por conta própria”, disse ele.
Um relatório de 2019 da Upstream chega a um custo de US$ 1,1 bilhão para um problema que exija um grande recall. Certamente, existe a oportunidade para hackers criminosos. A Juniper Research, do Reino Unido, estimou em um relatório de 2018 que, até 2023, cerca de 775 milhões de carros estarão conectados à web de alguma forma (eram 330 milhões em 2018).
Tengler, da Kugler Maag Cie, disse que é fácil imaginar o perigo que os hackers representam a veículos autônomos – potencialmente redirecionando-os em um roubo. Mas o hack do Jeep provou que “não importa se existe alguém dirigindo. Se podem assumir o controle do carro, a tecnologia vulnerável já está lá”.
Ladrões roubaram carros usando tecnologias eletrônicas bastante simples, algumas delas disponíveis gratuitamente. Um dispositivo que amplifica os sinais do controle remoto de um carro pode ser usado para destravar as portas do veículo-alvo. Kamkar conta que construiu esse tipo de dispositivo com componentes de fácil acesso por cerca de US$ 50.
“É muito mais simples do que as pessoas pensam”, disse ele.
Outros dispositivos incluem um transmissor de rádio que verifica um grande número de combinações possíveis até decifrar a trava automática do carro-alvo. Em 2006, foi supostamente assim que a BMW X5 do astro do futebol David Beckham foi roubada em Madrid. Outra X5 pertencente a Beckham também foi levada.
“Os ladrões de carros costumavam ter um pé-de-cabra; agora eles usam laptops”, compara Plesco, da KPMG.
Jono Anderson, também diretor da KPMG, disse que a indústria automobilística precisava aprender com o setor aeroespacial.
“Eles estão muito familiarizados com esse tipo de segurança, mas isso é novidade para a indústria automobilística. Talvez seja possível hackear o sistema de entretenimento em um avião e obter filmes gratuitos, mas é virtualmente impossível hackear as comunicações reais.”
The New York Times Licensing Group – Todos os direitos reservados. É proibido todo tipo de reprodução sem autorização por escrito do The New York Times.