A empresa de cibersegurança Bureau Veritas publicou uma investigação que identificou falhas graves nos sistemas Bluetooth de motas elétricas de gama alta. Os modelos afetados são os que utilizam conectividade Bluetooth para comunicar com aplicações móveis, uma funcionalidade cada vez mais comum que permite ao utilizador aceder a dados em tempo real, fazer diagnósticos ou ajustar parâmetros do veículo diretamente pelo telemóvel.
O problema é que essa mesma ligação pode ser explorada por um atacante. E o que um hacker pode fazer uma vez dentro do sistema é o que torna esta falha diferente de tudo o que vimos até agora.
Não é o teu banco que está em risco. É a tua vida.
Os ataques Bluetooth que conhecemos até hoje visam sobretudo roubar informação pessoal ou bancária. Como já analisámos, deixar o Bluetooth sempre ligado no telemóvel já era um risco que os portugueses subestimavam. Mas o que os investigadores descrevem agora vai muito mais longe: um atacante com acesso ao sistema da mota pode alterar a velocidade máxima, modificar os parâmetros de travagem e manipular pontos de dados que afetam diretamente o desempenho do veículo em circulação.
A vulnerabilidade foi publicada pela CISA, a agência norte-americana de cibersegurança, com identificador oficial ICSA-26-111-06. Isto significa que o problema foi validado, é real e ainda não tem correção disponível para todos os modelos afetados.
Qual é a boa notícia? O alcance.
O ataque exige proximidade física. O Bluetooth tem um alcance limitado, o que significa que o agressor tem de estar nas imediações da mota para explorar a falha. Isso traz algum conforto, mas não resolve o problema num contexto urbano.
Em Portugal qualquer parque de estacionamento de um centro comercial, não é difícil para alguém posicionar-se a poucos metros de uma mota estacionada. E há um detalhe ainda mais preocupante: como exige proximidade, este tipo de ataque torna-se muito mais difícil de detetar e rastrear do que um ataque remoto tradicional.
Portugal está exposto?
A verdade é que sim. As motas elétricas portuguesas feitas em Portugal, como as da MeV, são modelos de entrada focados em mobilidade urbana e ainda não foram identificadas neste relatório específico. A vulnerabilidade afeta sobretudo motas de gama alta com apps de diagnóstico e conectividade avançada, como os modelos de marcas internacionais com maior integração digital.
Ainda assim, à medida que o mercado português cresce e os consumidores migram para modelos com mais tecnologia, esta é uma janela de vulnerabilidade que vai alargando. Não é coincidência que as falhas de segurança no Bluetooth de veículos sejam um padrão que se repete, e que afetou no passado até carros como o Tesla Model 3 e o Model Y.
O que podes fazer agora?
Se tens uma mota elétrica com app de gestão via Bluetooth, estas são as medidas mínimas que deves tomar já:
- Manter o software e firmware da mota sempre atualizados.
- Desativar o Bluetooth da app quando não estás a utilizá-la ativamente.
- Não deixar a mota emparelhada de forma permanente com o telemóvel em locais públicos.
- Contactar o fabricante ou importador para perceber se existe alguma atualização de segurança disponível para o teu modelo.
Os portugueses que apostaram na mobilidade elétrica merecem saber que os seus veículos também precisam de atualizações de segurança, tal como o telemóvel que usam para os controlar.
