Na Conferência de Segurança organizada pela Black Hat que decorre esta semana em Las Vegas (EUA), Charlie Miller e Chris Valasek apresentaram um documento de 90 páginas onde analisaram as falhas de segurança de 24 modelos de automóveis. Miller e Valasek são dois “piratas” que no ano passado demonstraram ser possível aceder à direção e aos travões de um Toyota Prius e de um Ford Escape.

Como é que uma coisa destas acontece? A resposta é simples: os automóveis modernos estão carregados de eletrónica e, inevitavelmente, ela é comandada por computadores. Estes não têm uma configuração igual às máquinas que temos em casa, são controladores baseados em microprocessador — que são também o núcleo de funcionamento dos computadores pessoais.

A tecnologia automóvel está hoje muito para além dos sistemas mecânicos, ela baseia-se na existência desses computadores, e um automóvel moderno pode ter vários: comando remoto de abertura e para ligar o motor, autorrádio, computador de bordo, controlo de injeção, de tração e de travagem, são apenas alguns exemplos. E, como se sabe, os sistemas informáticos são vulneráveis a ataques, o que no caso de um automóvel pode ter consequências graves. Uma coisa é conseguirem furtar o nosso carro pela manipulação de um código da chave, outra muito mais séria é poderem aceder-lhe remotamente enquanto conduzimos e comandar a direção ou os travões. Seguramente que todos trocamos um furto por um desastre.

Tal como Charlie Miller e Chris Valasek demonstraram, essa intrusão já é uma realidade, já é possível a um “pirata informático” controlar os comandos de alguns carros fazendo uso apenas, claro, de um computador ligado à internet. O problema não parece estar na existência da tecnologia em si, mas na arquitetura informática que serve de base ao desenho dos novos veículos. Um sistema que integra num posto de comando todas as funções eletrónicas é, aparentemente, mais vulnerável que um que tenha as diferentes funções separadas em “redes” distintas. Por exemplo, se o microprocessador que controla a direção assistida for o mesmo que comanda o autorrádio ou o GPS, os analistas defendem que o acesso a um sistema pode comprometer o outro. E nem precisa de ter o carro ligado diretamente à internet por uma ligação específica; basta que tenha ligado o smartphone por cabo ou bluetooth ao autorrádio para ouvir música ou para usar a alta-voz. A ligação à rede faz-se pelos dispositivos que carregamos nos bolsos.

O documento apresentado na conferência em Las Vegas serve de alerta não só para os proprietários dos veículos mas também para os construtores. Os investigadores esclareceram ainda que as vulnerabilidades que encontraram não têm equivalência direta a uma possível intrusão, ou seja, que a existência de uma falha não significa que ela possa ser usada com consequências. A lista dos automóveis “testados” pode ser consultada aqui.