A maior operadora da Noruega fez testes de segurança à sua frota de autocarros elétricos e descobriu que o construtor chinês destes veiculos tinha acesso aos sistemas de controlo dos veículos para atualizações de software e diagnóstico.
Um dos principais operadores de transportes públicos da Noruega, a Ruter, vai impor requisitos de segurança mais rigorosos e reforçar medidas contra pirataria informática, depois de um teste a novos autocarros elétricos de fabrico chinês ter mostrado que o fabricante podia desligá-los à distância.
A Ruter disse que os resultados, publicados na semana passada, mostraram que a chinesa Yutong Group tinha acesso aos sistemas de controlo para atualizações de software e diagnóstico. “Em teoria, isto pode ser explorado para afetar o autocarro”, afirmou.
Os testes, com autocarros conduzidos em minas subterrâneas para eliminar sinais externos, foram realizados tanto em veículos novos da Yutong como em veículos com três anos do fabricante neerlandês VDL, disse a empresa.
Os testes mostraram que os autocarros neerlandeses não tinham capacidade para fazer atualizações remotas de software (over-the-air), ao contrário dos de fabrico chinês.
A Yutong não respondeu de imediato a pedidos de comentário na quarta-feira.
O jornal The Guardian, que noticiou o caso, citou uma declaração da empresa chinesa segundo a qual afirma cumprir rigorosamente as leis e regras dos locais onde os seus veículos operam.
A declaração indica que os dados sobre os seus autocarros são armazenados na Alemanha.
O jornal citou ainda um porta-voz não identificado da Yutong, que afirmou que os dados estão encriptados e são “usados unicamente para manutenção, otimização e melhoria relacionadas com o veículo, para responder às necessidades de pós-venda dos clientes”.
Segundo o site da Yutong, a empresa vendeu dezenas de milhares de veículos na Europa, África, América Latina e região Ásia-Pacífico nas últimas décadas.
O estudo foi lançado, em parte, por receios de vigilância, numa altura em que muitos países na Europa, na América do Norte e noutras regiões estão a adotar medidas para proteger dados de consumidores e operações remotas.
Preocupações com controlo remoto de veículos elétricos
As conclusões mostraram que “o fabricante tem acesso digital direto a cada autocarro para atualizações de software e diagnóstico”, disse a Ruter, que afirma gerir metade dos transportes públicos da Noruega e opera em Oslo e na parte oriental de Akershus.
As preocupações com o controlo remoto de veículos elétricos não são novas: os reguladores dos Estados Unidos abriram em janeiro uma investigação à Tesla após existirem relatos de acidentes por causa do uso de tecnologia da empresa que permite aos condutores ordenar, através de uma aplicação no telemóvel, que o veículo volte para junto deles ou se desloque para outro local.
Os autocarros Yutong são conduzidos por pessoas; não são veículos sem condutor, como táxis e serviços de vaivém em locais como a Califórnia e a China.
“Após estes testes, a Ruter passa da preocupação para o conhecimento concreto sobre como podemos implementar sistemas de segurança que nos protejam contra atividade indesejada ou intrusões nos sistemas de dados do autocarro”, afirmou o diretor executivo, Bernt Reitan Jenssen.
Risco abrange “todos os tipos de veículos” com esta eletrónica
Na vizinha Dinamarca, a operadora Movia disse estar a rever avaliações de risco relativas a cibersegurança e espionagem em autocarros, bem como possíveis medidas para prevenir intrusões, uso indevido de dados e riscos de desativação dos veículos.
A Movia adiantou que as autoridades dinamarquesas não sinalizaram casos de desativação de autocarros, mas está a procurar formas de eliminar vulnerabilidades.
As novas conclusões foram apresentadas na conferência InformNorden sobre tráfego por assessores da Universidade do Sudeste da Noruega e mostraram que nem um hacker nem o fornecedor conseguem assumir o controlo do autocarro.
“Importa sublinhar que os assessores sénior noruegueses afirmaram que isto não é uma preocupação com autocarros chineses; é um problema para todos os tipos de veículos e dispositivos com este tipo de eletrónica incorporada”, disse a Movia por email.
Regras de segurança mais exigentes
As câmaras nos autocarros não estão ligadas à internet, pelo que “não há risco de transmissão de imagens ou vídeo a partir dos autocarros”, disse a Ruter, que tem mais de 100 autocarros Yutong na frota. Acrescentou que os veículos não podem ser operados remotamente.
Ainda assim, a Ruter disse que o fabricante consegue aceder, via rede móvel, ao sistema de controlo da bateria e da alimentação elétrica e isso significa que, em teoria, os autocarros “podem ser parados ou tornados inoperáveis pelo fabricante”.
A empresa norueguesa está a responder impondo regras de segurança mais exigentes em futuros concursos de aquisição, desenvolvendo firewalls que assegurem controlo local e impeçam intrusões, e a trabalhar com as autoridades em “requisitos claros de cibersegurança."
Está também a adotar medidas para atrasar os sinais recebidos, “para podermos ter visibilidade sobre as atualizações enviadas antes de chegarem ao autocarro.”