Um novo estudo de segurança revelou sérias falhas nos sistemas digitais da Subaru, permitindo que hackers rastreassem a localização de milhões de veículos e assumissem controle remoto de funções como destravamento das portas, buzina e ignição.
As vulnerabilidades foram descobertas por Sam Curry e Shubham Shah, que conseguiram explorar as falhas do portal de funcionários da marca para acessar dados altamente sensíveis.
Ao investigar o Subaru Impreza 2023 da mãe de Curry, os pesquisadores descobriram que era possível recuperar um histórico de localização detalhado do carro, cobrindo pelo menos um ano.
“A precisão dos dados era tão alta que conseguimos identificar visitas ao médico, casas de amigos e até a vaga exata onde o carro estacionava na igreja”, afirmou Curry.
Essas falhas foram corrigidas rapidamente após serem relatadas à Subaru, mas o problema vai além das brechas de segurança. A descoberta destacou a quantidade de dados pessoais que a Subaru coleta e armazena – e que permanece acessível a seus funcionários.
O acesso foi obtido por meio do portal SubaruCS.com, destinado a funcionários. Os pesquisadores descobriram que podiam redefinir as senhas de qualquer funcionário apenas identificando o e-mail associado à conta.
Embora houvesse perguntas de segurança, as respostas eram validadas localmente no navegador do usuário, permitindo que os hackers as burlassem facilmente.
Com as credenciais de um funcionário, os pesquisadores conseguiram buscar informações de qualquer veículo Subaru vinculado ao sistema Starlink.
Isso incluía localizar carros em tempo real, visualizar um histórico detalhado de localização e reassociar os controles remotos do veículo para qualquer dispositivo desejado.
Os pesquisadores alertam que as falhas apresentavam sérios riscos de roubo e perseguição. Um atacante poderia localizar o carro de uma vítima, desbloqueá-lo e até mesmo ligar o motor remotamente.
Embora ainda fosse necessário desativar o imobilizador do veículo para dirigi-lo, a exposição destacava riscos alarmantes.
O mais preocupante, no entanto, é o nível de rastreamento disponível no sistema Subaru.
Mesmo com as vulnerabilidades corrigidas, Curry apontou que os funcionários da empresa ainda têm acesso a históricos detalhados de localização.
“Não há necessidade de guardar um ano inteiro de dados de localização para notificações de emergência”, comentou.
Este caso não é único. Nos últimos anos, Curry e outros pesquisadores identificaram falhas semelhantes em sistemas de marcas como Honda, Toyota, BMW, Kia e Mercedes-Benz, expondo uma preocupação generalizada com a coleta e o uso de dados nos veículos modernos.
Um relatório da Mozilla Foundation, publicado em setembro, descreveu os carros conectados como um “pesadelo de privacidade”, destacando que 92% dos fabricantes oferecem pouco ou nenhum controle sobre os dados coletados, enquanto 84% se reservam o direito de vender ou compartilhar essas informações.
Embora a Subaru tenha declarado que “não vende dados de localização”, o acesso interno disponível a seus funcionários e a ausência de limites claros para a retenção de dados ainda preocupam especialistas.
Robert Herrell, diretor da Consumer Federation of California, afirmou que “há um nível assustador de detalhes disponíveis para funcionários, e os consumidores sequer sabem que estão sendo rastreados dessa forma”.
O caso envolvendo a Subaru reforça a necessidade de maior regulamentação na coleta e uso de dados por fabricantes de veículos.
Enquanto as brechas de segurança podem ser corrigidas, a prática de rastrear e armazenar informações detalhadas sobre os motoristas continua sendo uma violação preocupante de privacidade.
Quer receber todas as nossas notícias em tempo real?
Acesse nossos exclusivos: Canal do Whatsapp e Canal do Telegram!
