Vulnerabilidade de dia zero descoberta ameaça a segurança global dos sistemas de carros conectados.

Este anúncio foi feito na conferência Security Analyst Summit 2025, que trata de uma vulnerabilidade zero-day em um aplicativo público de um parceiro contratado, abrindo caminho para acesso não autorizado ao sistema telemático – o cérebro que controla e coleta dados do carro. Em um cenário real de ataque, os criminosos podem forçar o carro a trocar de marcha, desligar o motor em movimento, ameaçando diretamente a segurança do motorista e dos passageiros.

Phát hiện lỗ hổng zero-day đe dọa an toàn hệ thống xe kết nối toàn cầu - Ảnh 1. — A Kaspersky descobre uma grave vulnerabilidade de segurança que ameaça a segurança dos veículos.

Segundo a Kaspersky, a avaliação de segurança foi realizada remotamente, com foco nos serviços públicos do fabricante e do contratado. Os especialistas descobriram diversas portas de acesso expostas à internet e uma vulnerabilidade de injeção de SQL no aplicativo wiki, que permitiu extrair dados de usuários e senhas criptografadas. Parte dessas senhas foi descriptografada, obtendo-se assim acesso ao sistema de rastreamento de incidentes que contém informações de configuração sensíveis da infraestrutura telemática, incluindo um arquivo com senhas criptografadas de usuários do servidor.

No que diz respeito ao sistema de carro conectado, a equipe descobriu um firewall mal configurado, que expôs servidores internos.

Utilizando as credenciais obtidas, eles acessaram o sistema de arquivos e conseguiram até mesmo enviar comandos de atualização de firmware modificados para o controlador telemático (TCU).

Essa ação permite o acesso à rede local (CAN) – que coordena o motor, a transmissão e os sensores, o que significa que muitas funções importantes do veículo podem ser controladas.

“Essas vulnerabilidades decorrem de erros comuns, como o uso de senhas fracas, a falta de autenticação de dois fatores e a ausência de criptografia de dados sensíveis. Apenas um elo fraco na cadeia de suprimentos pode comprometer todo o sistema do carro inteligente”, afirmou Artem Zinenko, chefe de Pesquisa e Avaliação de Segurança do ICS CERT na Kaspersky.

A Kaspersky apela aos fabricantes de automóveis para que reforcem os controlos de cibersegurança, especialmente no que diz respeito à infraestrutura de parceiros terceiros, para garantir a segurança dos utilizadores e manter a confiança na tecnologia dos carros conectados.

Recomendações da Kaspersky para contratados e parceiros tecnológicos do setor automotivo:

Restringir o acesso à Internet para serviços web via VPN, isolando os serviços da intranet corporativa.
Serviços web separados, portanto não relacionados à intranet corporativa.
Implemente uma política de senhas rigorosa.
Ativar autenticação de dois fatores (2FA)
Criptografar dados confidenciais
Integre o sistema de registro de logs com a plataforma SIEM para monitorar e detectar incidentes em tempo real. (SIEM - Security Information and Event Management é um sistema de gerenciamento de informações e eventos de segurança que ajuda a detectar comportamentos anormais ou ataques cibernéticos precocemente).

Para fabricantes de automóveis, a Kaspersky recomenda restringir o acesso à plataforma telemática (sistema que coleta e processa dados do veículo) a partir da rede do veículo, permitindo apenas conexões de rede autorizadas, desativando o login por senha SSH, operando os serviços com as permissões mínimas necessárias, garantindo a autenticidade dos comandos de controle enviados à TCU (unidade de controle telemático do veículo) e integrando uma plataforma SIEM.

Fonte: https://nld.com.vn/phat-hien-lo-hong-zero-day-de-doa-an-toan-he-thong-o-to-ket-noi-toan-cau-196251113092524751.htm