Nova pesquisa da Universidade Northeastern revela vulnerabilidades no Model 3 e Cybertruck da Tesla que permitem a hackers rastrear veículos e interromper comunicações por sistemas sem fio. O estudo destaca problemas de segurança mais amplos em carros conectados modernos, que dependem de conectividade celular persistente. Pesquisadores enfatizam que esses riscos se estendem à maioria dos veículos que usam componentes de modem semelhantes.
Hackers poderiam explorar a conectividade 4G LTE no Model 3 e Cybertruck da Tesla para rastrear veículos, interromper comunicações e interferir no desempenho da rede, de acordo com um estudo de pesquisadores da Universidade Northeastern. A pesquisa, conduzida por Aanjhan Ranganathan, professor no Khoury College of Computer Science, junto com os alunos de doutorado Evangelos Bitsikas e Jason Veara, focou nos sistemas sem fio dos veículos. Carros conectados modernos, descritos como “computadores sobre rodas”, possuem modems celulares e Wi-Fi, GPS, Bluetooth e tecnologias vehicle-to-everything (V2X) para recursos de segurança. Ao contrário de smartphones, esses veículos mantêm conectividade persistente para diagnósticos remotos, atualizações over-the-air (OTA) e comunicações de aplicativos, tornando-os mais difíceis de monitorar ou controlar. “A lição mais importante para quem compra um carro é entender que veículos modernos são dispositivos em rede sempre ligados que você não pode controlar ou monitorar”, disse Ranganathan. Uma vulnerabilidade chave identificada é a captura de IMSI, onde hackers usam captadores de IMSI — dispositivos que imitam torres de celular — para capturar números de Identidade Internacional do Assinante Móvel durante anexos à rede. Isso permite rastreamento de localização e pode forçar veículos a modos menos seguros ou interceptar tráfego de dados. “Qualquer sistema que usa um modem celular pode ser colocado em situações onde uma ‘torre falsa’ próxima pode influenciar como ele se conecta, especialmente se o atacante estiver fisicamente próximo”, disse Bitsikas. Ele acrescentou: “Importante, isso não significa automaticamente ‘controle remoto do carro’, mas pode impactar comunicações e privacidade (ex.: comunicação backend com servidores da Tesla)”. O estudo também encontrou problemas com sistemas de SMS e serviços de emergência, permitindo spam, alertas falsos e ataques de negação de serviço. “O risco é menos ‘alguém hackeia o carro inteiro via uma mensagem de texto’ e mais que canais de mensagens possam ser abusados, falsificados ou usados para ataques de incômodo/engenharia dependendo de como o sistema receptor é projetado”, explicou Bitsikas. Essas vulnerabilidades provêm de modems celulares fornecidos por Qualcomm e Quectel, afetando a maioria dos carros conectados modernos. “Portanto, o problema é praticamente aplicável a todos os carros conectados modernos”, disse Ranganathan. Consumer Reports emprestou os modelos de 2024 para testes. Os pesquisadores divulgaram as descobertas para a Tesla, que reconheceu fraquezas em pilhas de modem de terceiros. Northeastern Global News solicitou comentário da Tesla, mas não recebeu nenhum. Sugestões de mitigação incluem upgrade para 5G para proteção de identidade mais forte, eliminação de fallbacks 2G e 3G, e alinhamento com padrões de cibersegurança da ONU e Organização Internacional de Normalização. Para consumidores, Ranganathan observou: “Quando você compra um carro conectado, está aceitando uma conexão celular que não pode desligar ou desativar ou mudar para uma rede preferida.” Pesquisas sobre segurança de carros conectados são limitadas devido a dificuldades de acesso, custos e desafios éticos.