Além das vulnerabilidades das unidades de controlo electrónico torna-se importante considerar potenciais falhas em sistemas como os de controlo de pressão dos pneus, alerta Miguel A. Hernández auditor de segurança na S21sec.
Miguel A. Hernández, auditor de segurança na S21sec
Uma das áreas de investigação em segurança informática que tem originado mais discussão e despertado grande interesse nos últimos anos tem sido, sem dúvida, as vulnerabilidades relacionadas com o setor automóvel. De todas notícias e artigos que têm vindo a público, talvez os mais conhecidos e com maior impacto sejam os de Charlie Miller, largamente conhecido também pelas suas investigações em segurança relacionadas com o sistema iOS da Apple.
Depois de adquirir um Jeep Cheroke, Charlie descobriu que era possível, através do sistema CAN (Controller Area Network) que comunica com uma unidade de controlo eletrónico (ECU – Engine Control Unit), executar determinadas ações como travar, acelerar e controlar a direção do veículo. Tudo isto realizado de forma remota e, em alguns casos, ultrapassando de forma engenhosa as verificações de segurança implementadas para prevenir acidentes.
Embora nem todos os “hacks” de veículos sejam tão espetaculares, há uma série de vulnerabilidades que, tendo um impacto relativamente menor, afetam funções comuns dos nossos carros. Um exemplo disto são os sistemas “Tire-pressure monitoring system” (TPMS), com comunicação sem fios que atualmente estão disponíveis na maioria dos veículos, para controlo de pressão dos pneus.
Num veículo equipado com TPMS sem fios, cada pneu inclui um sensor que mede diversos valores e os transmite periodicamente a uma ECU. Em caso de perda significativa de pressão no pneu, o condutor é alertado para este problema.
O sinal de rádio utilizado para esse propósito não corresponde a nenhum padrão aberto, contudo, graças ao trabalho de engenharia inversa desenvolvido por vários investigadores foi documentado o formato dos
principais fabricantes. Ao fazê-lo, os investigadores descobriram que a maioria desses sistemas transmitem em texto simples os valores medidos, acompanhados por um único identificador, com a proteção única de “cheksum”, de modo a evitar a corrupção de dados por
interferências radio-elétricas.
O risco mais imediato apresentado por estes sistemas está relacionado com o problema da privacidade que pressupõe ter o equivalente a uma baliza de curto alcance permanentemente ativa no automóvel. Esses números de ID únicos podem ser captados a partir de uma ou mais estações recetoras para verificar a presença de um determinado veículo ou definir padrões de uso.
É igualmente possível fazer algumas ações maliciosas ativas contra o TPMS, como por exemplo fazer com que um veículo “pense” que está a ter um problema no pneu ou um problema com o sistema TPMS. O resultado pode passar por acendimento de uma simples luz que avisa que o veículo se prepara para entrar no modo de segurança, limitando a velocidade máxima.
Existe ainda um caso documentado como “brick” (bloqueio permanente) de uma central ECU que aconteceu por terem sido aceites pacotes de TPMS erradas. Em relação às possibilidades de implementar algum tipo de código remoto, parece que a superfície de ataque é pequena e, por isso, à data não existe nenhum caso conhecido de ter ocorrido esse tipo de atuação.
Contudo, é importante lembrarmos que em qualquer sistema informático, uma entrada de dados é suscetível de ser usada como ponto de injeção de informações para fins maliciosos e, se estes valores não forem filtrados devidamente, podem conduzir a rejeições do serviço ou comportamento não contemplados pelo design do software.
Os fabricantes de sistemas TPMS responderam minimizando o possível impacto dos ataques ativos uma vez que o atacante teria de seguir a vítima durante o seu percurso ou instalar secretamente um dispositivo TPMS falso. Possivelmente um esforço excessivo para conseguir que se acenda a luz de alerta da pressão dos pneus.
Por outro lado, estimam que a receção passiva de identificadores únicos foi atenuada pelo escasso alcance destes sistemas, não mais do que um par de metros, e também pelo elevado custo que representa um sistema recetor. Decididos a determinar qual o risco atual deste tipo de dispositivos, realizámos testes tanto nos nossos laboratórios como no mundo real.
Para isso, utilizámos um recetor de rádio de baixo custo (RTL-SDE) e um recetor de televisão digital que, com os drivers adequados, se converterá num recetor SDR. O preço destes dispositivos no mercado é baixo, sendo possível encontrar-se a partir dos oito euros, enquanto a disponibilidade dos minicomputadores RaspberryPi ou OrangePi permitem criar uma estação recetora completa por menos de 40 euros.
Por outro lado, se quisermos concretizar engenharia inversa sobre estes sensores TPMS, podemos encontrá-los no “ferro-velho” a partir de 12 euros, aproximadamente. Sobre o software necessário, existem diversos projetos de código aberto que implementam a receção de TPMS de diferentes fabricantes.
De todos eles o mais fácil de usar é o rtl_433, um descodificador multiprotocolo destinado a receber dispositivos em banda ISM de curto alcance, que é utilizada por sensores TPMS. Este software é capaz de receber sensores de protocolo Citroen (utilizado também pela Peugeot, Fiat e Mitsubishi, entre outros), Schraeder (utilizado pela Mercedez, Audi, BMW, Chrysler, Jeep, Hyundai, Kia, Porsche e VW) assim como da Steelmate, um sistema de pós-venda que não chegámos a detetar durante os nossos testes.
Relativamente às afirmações dos fabricantes de que é difícil receber este tipo de transmissões, utilizando o nosso teste TPMS comprovámos que é perfeitamente possível captar até 20 metros mesmo que localizado dentro de um veículo. Continuámos a conectar a nossa pequena estação recetora a uma antena base omnidirecional num ambiente residencial e conseguimos receber, de forma sistemática, o sistema TPMS de veículos que circulam numa área superior a 100 metros.
Realizando esses testes numa linha de visão ideal num campo aberto e com uma antena de elevado alcance direcional, conseguimos aumentar a esta distância até aos 400 metros. Em segurança informática diz-se que aquando da existência de uma vulnerabilidade, a tendência será sempre a de diminuir a fasquia da dificuldade de exploração.
É possível constatarmos, de forma clara, que em poucos anos se passou de ataques académicos para a possibilidade de qualquer amador montar uma estação recetora com apenas alguns euros e horas de trabalho.
Os sistemas TPMS levaram a uma melhoria significativa na segurança rodoviária e preveniram acidentes potencialmente graves causados pelo mau estado dos pneus.
Contudo, e como em qualquer nova aplicação, é sempre necessário o levantamento de questões de segurança informática que não existiam nos sistemas tradicionais de automóveis. Finalmente, devemos lembrar que os sensores TPMS são apenas uma pequena parte da área de exposição de comunicações sem fios de um veículo moderno, aos quais se juntam: os comandos tradicionais de fecho centralizado ou através de aplicações móveis, sistemas de arranque sem chave, assistência remota integrada através de redes móveis, geolocalizadores antirroubo, os sistemas de busca que se integram o GPS com as informações de trânsito RDS-TMC, os “transponders” de pagamento automático de portagens, o acesso à Internet no veículo, e num futuro próximo, as comunicações V2V (veículo para veículo).
Todos eles utilizam comunicações via radio-frequência, susceptíveis de ter implicações na segurança informática e na privacidade.