Todos os carros conectados à internet falham em teste de privacidade e segurança da Mozilla
(gizmodo.com)- No projeto *Privacy Not Included da Mozilla, novos carros conectados à internet de 25 grandes marcas, incluindo BMW, Ford, Toyota, Tesla e Subaru, não passaram em nenhum dos critérios de privacidade e segurança
- Carros modernos coletam dados dos motoristas por meio de microfones, câmeras, smartphones, apps e sites, e as fabricantes podem compartilhar ou vender esses dados a terceiros
- O escopo da coleta vai de localização de condução e informações de saúde até, em algumas políticas, dados sensíveis como vida sexual, raça, status migratório e dados genéticos
- A Mozilla não conseguiu confirmar se as marcas pesquisadas usam criptografia, e a única fabricante que respondeu às perguntas relacionadas foi a Mercedes-Benz
- Casos como o da Subaru, que considera até passageiros como “usuários” que deram consentimento, mostram que as políticas de privacidade dos veículos são estruturadas de uma forma difícil de controlar tanto para motoristas quanto para passageiros
Resultados da investigação da Mozilla
- O projeto *Privacy Not Included da Mozilla investigou as práticas de privacidade e segurança de carros novos com recursos conectados à internet
- As 25 grandes marcas de automóveis analisadas não passaram em nenhum dos testes da Mozilla
- Entre as marcas avaliadas estão BMW, Ford, Toyota, Tesla, Subaru e outras
- Os carros novos de hoje foram avaliados como algo próximo a “pesadelos de privacidade sobre rodas”, por coletarem grandes volumes de informações pessoais
Dados coletados pelos veículos
- Carros modernos coletam dados por vários canais, como microfones, câmeras, celulares conectados, apps e sites das fabricantes
- Algumas marcas coletam as seguintes informações sobre os motoristas
- Localização ao dirigir
- Expressões faciais
- Peso corporal
- Informações de saúde
- Raça
- Algumas políticas relacionadas a veículos também incluem informações sensíveis que dificilmente se esperaria que um carro soubesse
- Vida sexual
- Status migratório
- Dados genéticos
Casos por marca
- A Nissan é o pior caso apontado pela Mozilla
- A política de privacidade da Nissan sugere que a empresa pode coletar dados sobre vida sexual, diagnósticos de saúde e dados genéticos
- No entanto, não foram confirmados detalhes sobre como exatamente esses dados são coletados
- A Nissan se reserva o direito de compartilhar ou vender “preferências, características, tendências psicológicas, predisposições, comportamento, atitudes, inteligência, habilidades e aptidões” a data brokers, órgãos de segurança pública e outros terceiros
- Um porta-voz da Nissan explicou que a empresa cumpre as leis aplicáveis e oferece transparência ao coletar ou compartilhar dados pessoais
- A Nissan acrescentou que sua política de privacidade define informações pessoais e informações pessoais sensíveis de forma ampla para se adequar às mudanças nas leis estaduais de privacidade, incluindo até tipos de dados que possa receber acidentalmente
- A Volkswagen coleta comportamentos de direção, como uso do cinto de segurança e hábitos de frenagem, e combina isso com informações como idade e gênero para uso em publicidade direcionada
- A política de privacidade da Kia se reserva o direito de monitorar a “vida sexual” do usuário
- A Mercedes-Benz entrega veículos com TikTok pré-instalado no sistema de infotainment, e o próprio TikTok também tem problemas de privacidade
Reação das fabricantes
- Um porta-voz da BMW explicou que a BMW NA fornece aos clientes um aviso de privacidade abrangente sobre a coleta de informações pessoais
- A BMW NA afirmou que permite aos motoristas fazer escolhas granulares sobre a coleta e o processamento de informações pessoais
- O porta-voz da BMW acrescentou que não analisou o estudo, mas que a BMW NA não vende informações pessoais dos clientes dentro do veículo e adota medidas abrangentes para proteger os dados dos clientes
- Um porta-voz da Mercedes-Benz recusou comentar porque a empresa não havia analisado o estudo
- No entanto, afirmou que o app MercedesMe Connect oferece aos usuários configurações de privacidade e a possibilidade de recusar alguns serviços
- As outras fabricantes mencionadas no artigo não forneceram respostas imediatas
Problemas de segurança e criptografia
- A questão da privacidade não se limita à natureza dos dados coletados
- A Mozilla não conseguiu confirmar se as marcas analisadas criptografam os dados coletados
- A única marca que respondeu às perguntas da Mozilla foi a Mercedes-Benz
“Privacy washing” e princípios do setor
- A Mozilla avalia que várias marcas de automóveis praticam privacy washing
- Ou seja, passam aos consumidores a impressão de que não precisam se preocupar com questões de privacidade, mas a realidade é o oposto
- Muitas grandes fabricantes assinaram os Consumer Privacy Protection Principles da Alliance for Automotive Innovation
- A Mozilla vê esses princípios como promessas vagas e sem força vinculante, criadas pelas próprias montadoras
- Um porta-voz da Alliance for Automotive Innovation afirmou que esses princípios estão em vigor e podem ser aplicados pela Federal Trade Commission
Consentimento e problemas envolvendo passageiros
- A Subaru considera os passageiros do veículo como “usuários” e entende que esses passageiros consentiram com a coleta de informações
- Várias marcas de automóveis exigem que o motorista informe aos passageiros sobre a política de privacidade do veículo
- A Toyota possui 12 políticas de privacidade diferentes
- As políticas de privacidade dos veículos são apresentadas de uma forma que dificulta que motoristas e passageiros realmente leiam, entendam e deem consentimento
1 comentários
Opiniões do Hacker News
Entre as invasões de privacidade de hoje em dia, a área dos carros é a que mais me incomoda. Sou uma “pessoa que gosta de carros”, mas não do tipo que só fica obcecada por carros antigos; também gosto de novas tecnologias, avanços de engenharia e carros elétricos.
Mesmo assim, estou há meses pesquisando um carro novo e não consigo comprar, porque quase nenhum atende ao que quero. As empresas fazem principalmente caminhonetes ou crossovers péssimos em vez de carros, e o que sempre atrapalha é a telemetria absurda, telas sensíveis ao toque por todos os lados, tecnologias de segurança mal implementadas ou ágio ridículo de concessionária.
O Toyota GR Corolla parece quase perfeito para os meus critérios, mas é difícil encontrá-lo em qualquer lugar sem ágio de concessionária de US$ 25 mil ou mais, e muitas concessionárias nem vendem para residentes de outros estados. É um momento realmente estranho tanto no mercado de carros novos quanto no de usados.
Além de ficar obsoleta rapidamente, é perigosa.
Ele também tem estrutura de fibra de carbono e, embora pareça uma econobox alta, é muito bom de dirigir. Só que o i3 foi descontinuado, e nos modelos novos a roda de controle ganhou uma tela sensível ao toque junto; então não sei se essa roda continua bem implementada o bastante para o uso real.
Não fiz test drive nos modelos novos, mas acho que verificaria cuidadosamente a interface de computador antes de comprar. Tomara que a BMW tenha sucesso com a abordagem oposta, mantendo controles físicos e não tratando mal os clientes, para que outras fabricantes sigam o exemplo.
Esses carros precisam de conserto mais ou menos uma vez por ano.
Muita gente fala em neutralizar a telemetria, mas desta vez não é simplesmente uma questão de vender anúncios. É uma questão de vigilância e controle reais, e acho que no fim os governos vão tornar isso obrigatório e depois tornar qualquer forma de contorno tão ilegal quanto violação de direitos autorais.
O governo dos EUA vai levantar as mãos e dizer “não fomos nós, foi o livre mercado, as pessoas quiseram isso”, mas as montadoras vão se alinhar entre si para coletar os dados e deixar a NSA pegá-los, ou pelo menos não bloquear o acesso.
Algumas pessoas vão achar ótimo porque daria para colocar na cadeia todo mundo que estava no J6, mas, se entrar um governo conservador, ele poderia mirar todo mundo que estava em protestos do BLM onde houve violência. O poder que “nós” permitimos contra “eles” acaba sendo usado contra “nós”.
Tudo isto se baseia neste material original: https://foundation.mozilla.org/en/privacynotincluded/categor...
Não examinei a metodologia a fundo, mas parece que ela se baseia em políticas de privacidade, não em uma análise do tráfego real de telemetria dos veículos. O tom do texto também é leve demais e sensacionalista, meio “omagad”, e não transmite bem a gravidade do tema nem dos resultados.
Listando apenas os que a configuração padrão do pi-hole bloqueia, há analytics.tiktok.com, sp.analytics.yahoo.com, googletagmanger.com, universal.iperceptions.com, cdn4.userzoom.com, snap.licdn.com, secure-ds.serving-sys.com, bat.bing.com, ct.pinterest.com, adherent.com, entre outros.
Imagino que o app de celular que acessa a localização do veículo tenha uma lista semelhante de rastreadores. Quando tiver tempo, quero fazer MITM no app para confirmar com certeza.
Não fica claro se os dados saem do celular por meio de brechas de acesso a dados do Android Auto / CarPlay, se os microfones do veículo ouvem conversas ativamente e as enviam para análise, ou se é só a suposição de que “como está escrito que eles têm o direito de usar, então é claro que tentarão coletar”.
As formas de coletar dados como atividade sexual seriam todas realmente graves, e, mesmo sem confiar nem um pouco nas montadoras, esse tipo de método parece passar do limite até para elas.
Tenho um Jeep Grand Cherokee 2018 e estou tentando descobrir onde fica o cartão SIM do modem celular embutido para arrancá-lo
É surpreendente que não haja mais gente interessada em cortar a telemetria permanente e, sinceramente, não me surpreenderia se, mesmo encontrando e removendo, o carro deixasse de funcionar direito
Hoje, as comunidades na web estão tão fragmentadas que o clima geral é mais de “e daí?”. Se você cavar os tópicos certos nos fóruns de cada fabricante, talvez encontre uma ou duas investigações, mas fica nisso; e é quase impossível comparar quais marcas são mais favoráveis a esse tipo de modificação
Não tenho experiência prática, mas, vendo como a indústria automotiva se move devagar em geral, imagino que o modem celular seja um módulo pendurado em um dos barramentos CAN, recebendo telemetria transmitida por outros módulos ou injetando/consultando comandos quando solicitado. Seria bom conseguir o manual de serviço de fábrica; os manuais Haynes hoje em dia são praticamente lixo
Isso se encaixa perfeitamente na tendência do setor de entrar desesperadamente no modelo de receita recorrente típico de empresas de tecnologia
A parte de que “as fabricantes coletam até atividade sexual, dados de diagnóstico de saúde e dados genéticos” soa meio suspeita se não houver uma explicação concreta de como isso é possível
Quanto ao fato de a Mozilla não ter conseguido verificar se os dados coletados são criptografados, considerando o histórico de segurança da indústria automotiva, acho seguro presumir que tudo fica armazenado em um banco MySQL sem patch de 2005 com root/password, exportando toda noite CSV em texto puro para uma pasta de rede aberta. Se todo mundo faz assim, dá para chamar de padrão da indústria
O fato de o app MercedesMe Connect oferecer configurações de privacidade e opção de recusar alguns serviços é parecido com pessoas que querem vender como serviço tudo dentro do carro que você já comprou dizendo: “se você está preocupado com a coleta de amostras de fezes enquanto usa o assento de categoria, pode usar o carro como enfeite de garagem”
Também diz que “ao entrar em um veículo que usa esses serviços, você consente com a coleta e o uso de informações pela Nissan”, e que você “se compromete a educar e informar todos os usuários e ocupantes do veículo”
Curiosamente, mesmo que alguém seja cliente de Uber / Lyft, no momento em que entra em um veículo Nissan, parece que isso pode ser interpretado como consentimento para a coleta de atividade sexual, informações genéticas e análises secundárias relacionadas
Depois que os dados são conectados, tudo que é coletado entra no mesmo pool. Algo como “sabemos onde John está quando dirige, então vamos vender ou fornecer esses dados e, em troca, comprar ou trocar dados de publicidade dos sites de interesse que ele visita” provavelmente está acontecendo em algum lugar
Hoje, tudo que era mecânico e analógico está sendo substituído por digital ou por “alguma coisa como software”, e produtos estão virando serviços
No fim, quando tudo estiver conectado à internet, tudo se torna dependente. Uma falha nos sistemas de um único provedor gigante, como AWS ou Google, poderia parar muitos carros de um país; no futuro, hackers também poderiam paralisar o trânsito de uma nação inteira
Em estruturas de oligopólio ou monopólio, quem tem poder pode decidir com enorme granularidade o que você pode fazer e para onde pode ir. Indivíduos não têm força para se opor, e órgãos governamentais também podem ser hostis ou pequenos demais para enfrentar megacorporações
O que as câmeras dentro do carro vão detectar? Se você está bêbado, ou ainda mais coisas? Vão gravar mais coisas por erro? Haverá backdoors para o governo? O carro coletará áudio, vídeo, informações biométricas, dados faciais, coisas como discurso de ódio? Também pode analisar para onde você vai e por que age assim, para usar em negócios de publicidade ou pelo governo
As fabricantes podem definir termos que permitam vender dados a terceiros nos modelos mais baratos. No começo será possível mitigar isso e comprar carros antigos, mas, quando todo mundo acabar implementando padrões de software de feudalismo tecnológico, não haverá como escolher outra forma de viver
Alguns carros permitem desativar isso fisicamente. Por exemplo, a Tacoma tem um Data Communication Module (DCM) com um rádio celular que faz tudo isso e “telefona para casa”
Ao remover um fusível da caixa de fusíveis, é possível cortar a alimentação do DCM; o efeito colateral é basicamente o microfone interno parar de funcionar, e dá para religar a qualquer momento. Parece até que a equipe de engenharia não queria criar um produto de vigilância e colocou um jeito fácil de desligar
Quando alguém lançar um supermódulo elegante que integra tudo, a desativação deixará de ser possível, então é melhor não criar expectativas
A Toyota é a fabricante que tentou cobrar uma assinatura mensal até para o chaveiro funcionar, antes de sofrer uma grande reação negativa. Mesmo sendo algo que funciona 100% localmente entre o chaveiro e o carro, sem usar celular nem nuvem. Não se deve presumir que eles não tentarão de novo discretamente
No processo, você pode perder recursos como alguns alto-falantes, rádio, Android Auto sem fio e microfone
Quanto mais leio sobre isso, mais acho que vou dirigir meu Toyota 4Runner de 23 anos pelo resto da vida
Na Espanha, regras de origem europeia estão fazendo com que carros a gasolina anteriores a 2001 e diesels anteriores a 2006 sejam gradualmente impedidos de cruzar grandes perímetros ao redor dos centros urbanos
Por exemplo, um Toyota 4Runner de 23 anos seria considerado poluente ou barulhento demais no centro de Madrid e perto das vias auxiliares de acesso; a partir de 2025, sua circulação será proibida em toda uma área de cerca de 23 km de diâmetro no centro
Minha Tundra 2001 é um veículo confortável e versátil para vida e trabalho, sem funções de espionagem; anda bem na cidade e também funciona bem para transportar toras e aço no meu terreno. Tenho três filhos em idade escolar, mas uma picape é muito melhor que uma van
Para o meu gosto, todos os carros feitos desde mais ou menos 2015 parecem excessivamente projetados
Também não tinha chaveiro nem Bluetooth, e era muito mais barata
A frase “muitas pessoas veem o carro como um espaço privado para ligar para o médico ou ter conversas pessoais com os filhos a caminho da escola” era 100% correta até poucos anos atrás, mas parece estar desaparecendo rapidamente à medida que o avanço tecnológico e a corrida pela coleta de dados privados chegam ao auge
Tenho medo de que, em carros novos, seja preciso aceitar os termos, e que, antes mesmo de sair do estacionamento da concessionária, apareça algo como “Atualizamos os termos. Aceite para destravar o carro”
Quando chegarmos à direção totalmente autônoma, acho que anúncios começarão a aparecer no cockpit digital ou no head-up display do carro. Eles poderão se basear na localização atual, no humor, na estação de rádio que você está ouvindo, qualquer coisa. Não é uma era que eu faça questão de ver
As soluções provavelmente também terão de evoluir. No começo, será algo como desconectar a ECU de telemática (unidade de controle eletrônico); então os fabricantes passarão a punir o motorista quando essa ECU estiver offline, reduzindo ou removendo funções não relacionadas
Depois, talvez seja necessário um hardware intermediário colocado entre a telemática e o conector da antena GPS para que a ECU receba apenas dados mínimos, talvez até dados falsos. Em seguida, irão para algo como exigir que ela “telefone para casa” periodicamente e receba uma resposta válida para ser considerada normal
Sem as proteções de privacidade enraizadas nas sociedades ocidentais, cada vez mais tenho a impressão de que a adtech chinesa já superou a dos EUA e da Europa em sofisticação
Parece quase ridículo perguntar, mas isso é legal mesmo nos EUA, onde as leis de privacidade são relativamente fracas? Em muitos estados, um veículo é tratado legalmente como uma extensão da residência
Por isso, os direitos e proteções legais aplicáveis à casa também se aplicam ao veículo. Então isso significa que, em algum lugar do texto legal, há uma cláusula escondida dizendo que o comprador concede à montadora o direito de vigilância?
Metade das proteções que temos hoje existe porque “é legalmente necessário na UE, e o custo de aplicar ao mundo todo é baixo”