A agência de aluguel de carros continua a fornecer controle remoto muito tempo depois que os carros são devolvidos

12

Prolongar / A tela exibida pelo FordPass quatro dias após um cliente da Enterprise Rent-A-Car devolver seu Ford Mustang.

Masamba Sinclair

Em outubro, Ars narrou a história de um homem que conseguiu remotamente iniciar, parar, bloquear, desbloquear e rastrear um Ford Explorer ele alugou e voltou cinco meses antes. Agora, algo quase idêntico aconteceu novamente ao mesmo cliente da Enterprise Rent-A-Car. Quatro dias após devolver um Ford Mustang, o FordPass app instalado no telefone de Masamba Sinclair continua a dar-lhe o controle do carro.

Como na última vez, Sinclair pode rastrear a localização do carro a qualquer momento. Ele pode ligar e desligar o motor, trancar e destrancar suas portas. A empresa só removeu o acesso de Sinclair ao carro na quarta-feira, mais de três horas depois que informei a agência de aluguel sobre o erro.

"Parece que alguém o alugou e está atualmente em um campo de golfe", escreveu Sinclair na terça-feira em um e-mail. "Este carro está ALTO, então a partida do motor definitivamente fará as pessoas fazerem muitas perguntas". Na quarta-feira, antes de seu acesso ser removido, ele acrescentou: "Parece que o aluguel anterior acabou e está de volta ao estacionamento da Enterprise". Abaixo está um vídeo demonstrando o controle que ele tinha até então.

Acesso FordPass.

Levamos a sério a segurança e a privacidade

Em outubro, a Enterprise e a Ford disseram que tinham mecanismos para garantir que o FordPass e outros aplicativos remotos fornecidos pela Ford não fossem emparelhados antes que os veículos fossem vendidos ou alugados para novos clientes. As respostas foram problemáticas por vários motivos. A Enterprise, por exemplo, disse que os contratos de aluguel assinados pelos clientes os lembram de limpar seus dados dos carros ao retornar. O problema é que o lembrete não avisa os locatários sobre os riscos que surgem quando o aplicativo de um cliente anterior permanece emparelhado com o veículo que está alugando.

Além disso, os clientes têm pouco incentivo para desemparelhar o aplicativo do carro que estão retornando. Os clientes geralmente tentam pegar voos e podem não querer se incomodar em pesquisar em menus que nunca viram antes. E como os riscos de privacidade e segurança recaem apenas sobre o novo cliente, pessoas nefastas que devolvem o carro podem querer manter o acesso remoto. O desemparelhamento do aplicativo por funcionários da agência de aluguel deve ser uma prática padrão quando os carros são devolvidos, um que não é diferente de aspirar o tapete do carro ou verificar seu motor.

A Ford, entretanto, sustentou que existem várias maneiras pelas quais os motoristas podem detectar quando um aplicativo tem acesso ao seu veículo. A montadora também disse que lembra as concessionárias para desemparelhar carros antes de serem revendidas.

Nenhuma dessas medidas parece abordar adequadamente o risco decorrente de as pessoas continuarem a ter controle sobre os veículos depois que os veículos foram alugados ou vendidos a novos clientes. Sinclair concorda que ele tinha a capacidade de desemparelhar seu dispositivo. Ele disse que não fez isso porque queria testar os procedimentos de segurança adotados pelas empresas que usam e desenvolvem o aplicativo. A artigo publicado na semana passada por KrebsOnSecurity – recontando um homem que continuou a ter acesso remoto a um Ford Focus quatro anos após o vencimento de seu contrato – sugere que o problema não está isolado.

O problema não é que não há como remover o acesso de locatários ou proprietários anteriores a um veículo emparelhado. Os veículos Ford, por exemplo, exibem uma etiqueta na tela do painel sempre que o compartilhamento de local, o início / parada remota e o bloqueio / desbloqueio remoto estão ativos. Os pop-ups também aparecerão em cada ignição quando os serviços de localização estiverem ativos e nenhum dispositivo Bluetooth emparelhado conhecido for detectado. As mensagens podem resolver o problema apenas se forem proeminentes e claras o suficiente para que os usuários reconheçam o risco. Solicitado para comentar, um porta-voz da Ford disse que as notificações que ele descreveu em outubro permaneceram em vigor.

Enquanto isso, os funcionários da empresa forneceram a seguinte declaração:

A segurança e a privacidade de nossos clientes são uma prioridade importante para nós como empresa. Agradecemos que isso seja levado a nossa atenção e estamos trabalhando ativamente para acompanhar o problema relacionado a esse aluguel específico que ocorreu na semana passada.

Após a divulgação no outono passado, atualizamos nossas diretrizes de limpeza de carros relacionadas ao nosso procedimento de redefinição principal. Além disso, instituímos um processo frequente de auditoria secundária em coordenação com a Ford. Também começamos a trabalhar com a Ford e estamos muito perto da conclusão do teste de software com eles, que automatizará a prevenção do emparelhamento FordPass pelos clientes alugados.

Usaremos essa experiência mais recente à medida que continuamos evoluindo nossos processos para garantir que eles abordem melhor os recursos e tecnologias que são continuamente adicionados aos veículos.

É provável que os veículos de outros fabricantes tenham recursos semelhantes e, como os recursos fornecidos pela Ford, provavelmente são fáceis de perder para muitos motoristas. As pessoas que alugam ou compram carros novos fariam bem em ler os manuais com atenção para aprender exatamente como o acesso remoto funciona e como garantir que ele seja removido dos clientes anteriores.

Fonte: Ars Technica