Fiquei empolgado quando comprei meu veículo atual, principalmente porque ele vinha com alguns recursos interessantes, como carregador de telefone sem fio, transferência de dados de telefone para carro, varredura em tempo real de placas de rua e sensores.
Eu também poderia usar um aplicativo para ligar o veículo, trancar as portas e definir e monitorar a velocidade. Também havia a opção de conectar o veículo à minha rede doméstica ou transformá-lo em um ponto de acesso.
No entanto, fui sacudido de meu devaneio pela percepção repentina de que conectar meu telefone ao carro me expõe a possíveis riscos de segurança cibernética. Afinal, 7,3% dos incidentes que afetaram veículos conectados entre 2010 e 2021 envolveram um aplicativo móvel complementar.
Minha preocupação com possíveis incidentes cibernéticos não se devia ao retrato de Hollywood de veículos hackeados, como em Velozes e Furiosos 8 . Há evidências que apontam para a possibilidade de veículos serem hackeados e sequestrados.
Os pesquisadores de segurança cibernética não eram os únicos interessados em explorar vulnerabilidades em automóveis conectados. De acordo com um relatório , os ataques cibernéticos a veículos aumentaram 225% em 2021 em relação a 2018, enquanto os agentes de ameaças foram responsáveis por 54,1% dos incidentes.
Cerca de 85% dos ataques foram executados remotamente, 40% visaram servidores back-end, 38% envolveram violações de dados/privacidade e 20% afetaram sistemas de controle. A entrada sem chave e os ataques de chaveiro representaram 50% de todos os roubos de veículos.
Um aumento em
Algumas das formas usadas para comprometer veículos inteligentes incluem manipulação de códigos e dados internos, envio de mensagens prejudiciais por meio de sistemas de infoentretenimento, exploração de vulnerabilidades em software e dispositivos conectados, comprometimento de acesso privilegiado, incorporação de vírus em mídia de comunicação, sequestro de servidores para comunicar códigos maliciosos a veículos em rede , e implantação de ataques de negação de serviço para causar o mau funcionamento dos veículos.
Os vetores de ameaças emergentes estão se mostrando muito perturbadores. Foi observado um aumento nos ataques que exploram vulnerabilidades em APIs para acessar e controlar veículos remotamente, roubá-los e interromper funcionalidades críticas.
Os agentes de ameaças também usam estações de carregamento para atacar veículos elétricos, cometer fraudes de representação e interromper a capacidade de carregar veículos elétricos em escala.
Como qualquer outro dispositivo da Internet das coisas (IoT), os veículos conectados são suscetíveis a riscos de segurança cibernética. O infame ataque de botnet Mirai em 2016 transformou em arma muitos dispositivos IoT para causar ataques de negação de serviço distribuído (DDoS) distribuídos globalmente.
Nos EUA, quase metade das organizações que usam uma rede IoT foi atingida por uma violação de segurança, resultando em perdas financeiras significativas. A possibilidade de armar veículos inteligentes é alcançável se os controles de segurança cibernética apropriados não estiverem em vigor.
Vulnerabilidades e enumerações comuns (CVEs) encontradas em veículos inteligentes aumentaram 321% em 2021 em relação a 2020.
Houve 26 críticas e 70 altas
Veículos conectados e estações de carregamento executando bibliotecas Apache Log4j são suscetíveis a vulnerabilidades Log4Shell (CVE-2021-44228, CVE-2021-45046 e CVE-2021-45105).
Essas vulnerabilidades foram exploradas para
As ameaças cibernéticas emergentes contra veículos conectados incluem ameaças aos canais de comunicação (89,3%), ameaças aos dados/código do veículo (87,7%), vulnerabilidades não corrigidas (50,8%), ameaças à conectividade e conexões do veículo (47,1%) e ameaças aos servidores de back-end ' conectividade (24,1%).
Com o crescimento das redes de tecnologia veículo-para-tudo (V2X) e celular veículo-para-tudo (CV2X), as oportunidades são infinitas para os agentes de ameaças explorarem.
Essa rede inclui veículo para pedestre (V2P), veículo para rede (V2N), veículo para veículo (V2V), veículo para nuvem (V2C), veículo para rede (V2G) e veículo para infraestrutura (V2I).
Qualquer vulnerabilidade no ecossistema pode ser armada para causar perturbações em massa, incluindo riscos de segurança.
O mercado de veículos conectados está projetado para crescer para US$ 121 bilhões até 2025. Até 2023, a indústria automotiva global está prevista para entregar mais de 76 milhões de veículos conectados.
A conectividade 5G está definida para transformar a experiência automotiva por meio de telemática aprimorada, estacionamento automatizado na fábrica, sistemas avançados de assistência ao motorista, direção autônoma, dados contínuos e conectividade celular.
Estima-se que um veículo inteligente gere 25 GB de dados por hora até 2025, superando a navegação na web ou as atividades de streaming de vídeo.
O crescimento e a transformação da indústria automotiva ampliam a superfície de ataque e ampliam a exposição a riscos comerciais significativos. Segundo o Fórum Econômico Mundial , a previsão para o mercado de veículos conectados é de US$ 215 bilhões até 2027.
No entanto, até 2024, estima-se que a indústria perderá mais de US$ 500 bilhões para
Além dos padrões regulatórios de segurança cibernética, como os regulamentos WP.29 R1552 e R1563 da Comissão Econômica das Nações Unidas para a Europa (UNECE) e o padrão ISO/SAE 21434, os fabricantes de veículos inteligentes devem priorizar controles de segurança adequados para reduzir a superfície de ataque e minimizar a exploração bem-sucedida de vulnerabilidades .
A proteção de veículos conectados não é responsabilidade apenas dos fabricantes de veículos. Os proprietários de veículos têm um papel a desempenhar para minimizar o acesso e as violações de dados. Seguir essas recomendações simples tornará difícil para os criminosos roubarem seus dados ou veículo.
A possibilidade de um ataque cibernético não deve impedi-lo de aproveitar seu veículo inteligente. Fazer escolhas de segurança inteligentes, conforme recomendado acima, permite que você explore os recursos interessantes que seu veículo conectado oferece sem comprometer sua segurança.
Além disso, os fabricantes automotivos devem garantir que os princípios de engenharia seguros sejam integrados em todas as fases do ciclo de vida do desenvolvimento do veículo.
Os fornecedores terceirizados desempenham um papel significativo na manutenção da integridade dos veículos conectados, implementando controles adequados para minimizar a exploração de vulnerabilidades na cadeia de suprimentos digital.