MiCODUS: Há centenas de veículos em Portugal vulneráveis a ataques informáticos

25-07-2022

É uma pequena peça que à primeira vista até parece um relé convencional de um veículo. Mas o aspeto é justamente uma das características que torna o localizador de GPS MiCODUS MV720 tão popular – passa completamente despercebido e nada faz indicar que, na realidade, é um equipamento (também conhecido como tracker) que permite ao utilizador saber e controlar onde está o seu carro. Este equipamento, se instalado por um mecânico profissional, pode inclusive ganhar outras funcionalidades, como ter ligação direta ao sistema de alimentação de combustível do veículo. O objetivo é simples: se alguém roubar o carro, o dono pode desativar a linha de combustível à distância, pelo que o veículo fica imobilizado. E tudo isto por cerca de 20 euros em lojas online.

Se por um lado este pequeno gadget é uma poderosa (e acessível) ferramenta antirroubo que pode ser instalada em praticamente qualquer veículo, isso também significa que caso caia nas mãos erradas, as consequências podem ser desastrosas. E foi justamente isso que Pedro Umbelino, investigador principal de segurança informática na norte-americana BitSight, descobriu: o localizador MiCODUS MV720 tem cinco vulnerabilidades graves que permitem a um pirata informático monitorizar a localização de centenas de milhares de veículos e até emitir comandos à distância que poderão levar a acidentes rodoviários.

“Pode provocar um acidente. O carro pode ser parado na autoestrada. Já nem precisamos de pensar que isto está instalado num veículo prioritário ou de emergência – mesmo um carro que seja parado na autoestrada, pode ter impacto na segurança das pessoas. E não é preciso muita imaginação para que isso possa acontecer”, alerta o investigador numa entrevista à Exame Informática. A Bitsight assume mesmo que as falhas de segurança neste pequeno módulo podem levar à “perda de vidas”.

Se provocar um acidente que pode custar vidas é o mais gravoso dos cenários, as vulnerabilidades encontradas também permitem a um pirata informático rastrear em detalhe os utilizadores enquanto conduzem os carros. Até ao momento, no entanto, não são conhecidos casos de que estas vulnerabilidades estejam a ser ativamente exploradas por cibercriminosos.

“Estes [localizadores] têm a capacidade de transmitir a localização do automóvel em tempo real, através de um cartão SIM, mas também têm a capacidade de cortar a linha de combustível do carro remotamente”, salienta Pedro Umbelino.

Pedro Umbelino é investigador de segurança informática e já foi responsável por encontrar outras falhas de segurança que tornaram-se casos mediáticos a nível global, casos do NFC Drip ou do ‘kill switch’ que dava acesso a smartphones da Samsung

A descoberta do português está a correr o mundo e o caso não é para menos – estima-se que a nível global existam cerca de 1,5 milhões de veículos a usar este localizador de GPS. Em Portugal, há algumas centenas de veículos que também usam este sistema e que estão por isso vulneráveis a ataques informáticos de consequências imprevisíveis.

Repleto de problemas

A mais grave das falhas encontradas por Pedro Umbelino está relacionada com a palavra-passe do localizador. O MiCODUS MV720 vem com uma palavra-passe fraca (123456) de origem e em nenhum momento da configuração o utilizador é forçado a mudá-la, pelo que muitos utilizadores até terão esta password ainda pré-definida. Na aplicação do localizador de GPS é possível alterar a senha de segurança para uma escolhida pelo utilizador, mas Pedro Umbelino descobriu que há uma palavra-passe mestre que funciona em todos (!) os MiCODUS MV720. “Depois de terem acesso à password, não é difícil [atacar]”, detalha o investigador português.

Imagem do localizador de GPS MiCODUS MV720. Além de dar a localização exata do carro, pode ser ligado ao sistema de alimentação de combustível do veículo. O utilizador pode interagir com o localizador (tracker) através de uma aplicação móvel ou então através de SMS, já que o localizador integra um cartão SIM. Ou seja, enviando uma mensagem para o carro, é possível cortar a linha de combustível de forma remota

Além da gravidade das vulnerabilidades e da escala que o problema tem a nível global, o próprio perfil de utilizadores fez soar ainda mais o alerta dentro da Bitsight. Entre os afetados, há de tudo um pouco: veículos de empresas energéticas ou aeroespaciais; veículos governamentais e militares; e até um veículo que opera numa central nuclear.

Segundo o relatório publicado pela empresa, em Portugal entre os principais utilizadores do localizador de GPS estão veículos que pertencem a entidades da Administração Pública. “Tentamos não divulgar especificamente que instituições e organizações estão envolvidas. (…) O que posso dizer é que em Portugal a distribuição de localizadores coincide mais ou menos a nível setorial com o resto do mundo e o grau de preocupação é o mesmo”, detalha Pedro Umbelino.

“Fomos detetanto que estavam a usar ou a aceder ao servidor da MiCODUS”, acrescenta. E como é que ele sabe isto? Porque o servidor central da empresa chinesa, aquele com o qual comunicam os localizadores de GPS, também tinha vulnerabilidades de segurança.

“Isto foi descoberto em setembro do ano passado e temos tentado entrar em contacto com o fabricante [MiCODUS] desde aí. A determinada altura decidimos envolver o Departamento de Segurança Interna dos EUA e a Agência de Segurança de Infraestruturas e Cibersegurança dos EUA [CISA no acrónimo em inglês], não queríamos fazer isto de forma irresponsável”, diz, sobre a divulgação dos problemas feita esta semana. Sem resposta do outro lado, foi tomada a decisão conjunta de tornar a informação pública. “Já que o fabricante não reage, não corrige as falhas, nem trabalha sequer nesse sentido, ao menos que os utilizadores possam proteger-se”.

Como o fabricante não respondeu às solicitações da empresa de cibersegurança nem das autoridades norte-americanas, só há de momento uma solução, segundo Pedro Umbelino, à disposição de quem tiver um MiCODUS MV720 instalado no carro.

“Desliguem o localizador ou tirem o cartão SIM, porque não existe mais nada que possam fazer. Esse é um dos problemas, o próprio utilizador não pode tomar medidas adicionais, se existe uma password universal, é o próprio fabricante que tem de corrigir as falhas no próprio servidor. Neste sentido, o utilizador fica impotente e a única hipótese que tem é desativar o tracker”.

(Exameinformatica)

Desenvolvido por: Suporte Informatica