Falha grave em portal de montadora permite o destravamento de veículos remotamente

Um pesquisador de segurança revelou que falhas graves no portal online de concessionárias de uma grande montadora de automóveis expuseram informações privadas e dados de veículos de seus clientes. A vulnerabilidade era tão séria que poderia ter permitido a hackers obter acesso remoto para destravar e invadir qualquer um dos veículos de seus clientes.

Eaton Zveare, pesquisador de segurança na empresa de software Harness, informou que a falha descoberta por ele permitia a criação de uma conta de administrador com "acesso irrestrito" ao portal web centralizado da montadora, cujo nome não foi divulgado.

Com esse nível de acesso, um hacker poderia visualizar dados pessoais e financeiros dos clientes da fabricante, rastrear a localização de veículos em tempo real e registrar clientes em serviços que permitem aos proprietários — ou, neste caso, aos hackers — controlar remotamente funções de seus carros de qualquer lugar do mundo.

Zveare, que apresentará suas descobertas na conferência de segurança Def Con em Las Vegas, afirmou que não planeja nomear a empresa, mas a descreveu como uma montadora amplamente conhecida e com várias submarcas populares. Ele destacou que as falhas colocam em evidência a fragilidade dos sistemas de concessionárias, que concedem aos seus funcionários e associados um acesso extenso a informações de clientes e veículos.

A descoberta, feita no início deste ano como parte de um projeto de fim de semana, foi um desafio. No entanto, uma vez encontrada, a vulnerabilidade no sistema de login permitiu que Zveare contornasse completamente o mecanismo de autenticação, criando uma nova conta de "administrador nacional".

O problema residia no fato de que o código defeituoso era carregado no navegador do usuário ao abrir a página de login do portal. Isso permitiu que Zveare modificasse o código localmente para burlar as verificações de segurança.

A montadora informou que não encontrou evidências de exploração anterior, sugerindo que Zveare foi o primeiro a descobrir e relatar a falha.

Uma vez logado, o pesquisador teve acesso a mais de 1.000 concessionárias da montadora nos Estados Unidos. "Ninguém sequer sabe que você está silenciosamente observando todos os dados dessas concessionárias, todas as suas finanças, todas as suas informações privadas", descreveu Zveare.

Dentro do portal, ele encontrou uma ferramenta de consulta de consumidores em nível nacional. Usando o número de identificação do veículo (VIN) de um carro em um estacionamento público, Zveare conseguiu identificar o proprietário do veículo.

A ferramenta também poderia ser usada para encontrar alguém apenas com o primeiro e o último nome.

Mais alarmante ainda, Zveare demonstrou que era possível associar qualquer veículo a uma conta móvel. Com o consentimento de um amigo, ele transferiu a propriedade do carro para uma conta sob seu controle. O portal exigia apenas uma "declaração" — basicamente uma promessa — de que o usuário que realizava a transferência era legítimo.

"Eu poderia fazer isso com qualquer pessoa sabendo apenas seu nome, o que me assusta um pouco", disse ele. Embora não tenha testado se poderia ligar e dirigir o carro, a falha poderia ser abusada por ladrões para invadir e roubar itens de dentro dos veículos.

O problema se estendia ainda mais, pois o acesso ao portal permitia usar sistemas de outras concessionárias por meio de single sign-on (SSO). O portal também possuía uma função que permitia aos administradores "personificar" outros usuários, acessando seus sistemas como se fossem eles, sem precisar de suas senhas — uma falha semelhante à encontrada em um portal da Toyota em 2023. "São pesadelos de segurança esperando para acontecer", comentou Zveare.

Os bugs foram corrigidos pela montadora em aproximadamente uma semana, em fevereiro de 2025, logo após a divulgação de Zveare. "A lição é que apenas duas vulnerabilidades simples de API abriram as portas completamente, e isso está sempre relacionado à autenticação", concluiu o pesquisador. "Se você errar nisso, todo o resto desmorona."

Via - TC