Uma falha crítica no sistema de concessionárias da Kia permitiu que hackers desbloqueassem e ligassem remotamente qualquer veículo elétrico da marca usando apenas a placa do carro.
O pesquisador de segurança Sam Curry revelou recentemente essa vulnerabilidade, que afetava praticamente todos os modelos conectados da Kia fabricados desde 2013. Embora a Kia tenha corrigido o problema em aproximadamente dois meses, o incidente acende um alerta sobre a segurança cibernética na era dos carros conectados.
Curry, conhecido por sua habilidade em expor falhas em sistemas automotivos, decidiu investigar como o aplicativo Kia Connect se comunicava com os veículos. Ele descobriu que podia explorar a API (Interface de Programação de Aplicativos) da Kia para obter acesso não autorizado.
A API deveria funcionar como uma intermediária segura entre o aplicativo e o carro, mas apresentava brechas que permitiam a interceptação e manipulação de dados.
Ao simular ser uma concessionária por meio do portal KDealer, Curry conseguiu registrar um veículo usando apenas o número da placa. Ele utilizou uma API de terceiros para converter a placa no número VIN (Número de Identificação do Veículo), necessário para o registro. Com o VIN em mãos, ele falsificou uma solicitação de registro, obtendo assim um token de sessão que lhe dava controle total sobre o veículo.
Com esse acesso, Curry podia destrancar as portas, ligar o motor e até mesmo acessar informações pessoais do proprietário, como nome, número de telefone e localização do veículo. Em alguns modelos, era possível até mesmo visualizar as câmeras do carro remotamente. Tudo isso sem que o proprietário tivesse qualquer conhecimento da invasão.
Hackers e carros elétricos
Este não é o primeiro problema de segurança enfrentado pela Kia nos últimos anos. Incidentes anteriores, como o dos “Kia Boys”, gangues que exploravam a ausência de imobilizadores em milhões de veículos, já haviam colocado a fabricante sob os holofotes. Dispositivos portáteis que imitavam chaves também facilitaram roubos, mostrando que a segurança física e digital dos carros da marca estava comprometida.
A rapidez com que Curry conseguiu explorar a falha — cerca de 30 segundos — ressalta a gravidade do problema. Em um cenário real, um criminoso poderia obter a placa de um carro estacionado, realizar o processo de registro falso e, em pouco tempo, ter controle total sobre o veículo.
Isso não apenas representa um risco de roubo, mas também levanta preocupações sobre a privacidade e a segurança pessoal dos proprietários.
A Kia agiu para corrigir a vulnerabilidade após ser informada, mas o incidente destaca a necessidade urgente de fortalecer as medidas de segurança em veículos conectados. À medida que os carros se tornam mais integrados à internet e dependentes de software, tornam-se alvos atraentes para ataques cibernéticos.
Especialistas em segurança cibernética alertam que a indústria automotiva deve adotar práticas comuns em outros setores de tecnologia, como atualizações regulares de software, criptografia avançada e autenticação multifator. Além disso, a colaboração com pesquisadores independentes pode ajudar a identificar vulnerabilidades que os próprios desenvolvedores podem não perceber.
