Falhas de segurança em serviços de internet das coisas alugáveis, como carregadores públicos de veículos elétricos e bicicletas compartilhadas, podem permitir ataques capazes de desativar em larga escala esses sistemas, segundo apresentação feita na sexta-feira, 24 de abril de 2026, durante a conferência Black Hat Asia. De acordo com informações do The Register, a demonstração foi conduzida pelo pesquisador Hetian Shi, da Universidade Tsinghua, na China, e indicou que o problema pode não se limitar ao mercado chinês.
Segundo o relato, Shi afirmou que a própria natureza desses serviços alugáveis cria uma fragilidade específica: como qualquer pessoa pode acessar fisicamente os dispositivos, torna-se mais fácil examiná-los em busca de vulnerabilidades. O pesquisador disse ter realizado os testes com autorização e de forma ética, e relatou ter encontrado, em alguns equipamentos, portas de depuração ou conectores UART, que facilitam a análise do funcionamento interno por alguém com conhecimento técnico.
Quais vulnerabilidades foram identificadas nos dispositivos e aplicativos?
Na análise do firmware dos aparelhos, Shi encontrou indícios de chaves de autenticação compartilhadas entre dispositivos e serviços de back-end que não autenticam adequadamente os usuários. De acordo com a apresentação, essas falhas podem abrir caminho para abuso da infraestrutura por agentes mal-intencionados.
O pesquisador também examinou aplicativos usados pelos consumidores para acessar esses serviços e relatou ter encontrado proteção fraca. Isso teria permitido, por exemplo, criar clientes fantasmas que os sistemas não conseguiriam distinguir de usuários reais. Na prática, segundo a explicação apresentada, esse tipo de brecha poderia viabilizar recargas de veículos ou aluguel de scooters sem custo.
Shi também afirmou que as técnicas desenvolvidas por ele podem expor dados pessoais ao atingir os sistemas de back-end dessas plataformas. O texto original, no entanto, não detalha quais informações poderiam ser acessadas nem informa se houve exploração real de dados de usuários.
Como foi a demonstração com carregadores públicos na China?
Durante a palestra, o pesquisador apresentou uma ferramenta chamada IDScope, criada para explorar várias das falhas encontradas. Na demonstração, ele utilizou o aplicativo para iOS de uma fornecedora chinesa de estações públicas de recarga para veículos elétricos.
Em seguida, pediu ao público que escolhesse uma cidade chinesa, e Xangai foi a opção mais mencionada. Depois, localizou carregadores disponíveis na Praça do Povo, área conhecida da cidade. O aplicativo exibiu a lista de pontos de recarga e indicou quais estavam livres para uso.
Após o público escolher um dos carregadores disponíveis, Shi anotou o número de identificação exibido no aplicativo e inseriu esse dado em um script. Segundos depois, segundo o relato publicado, o ícone do carregador no aplicativo mudou de verde, que indicava disponibilidade, para cinza, sinalizando uma porta desativada.
O autor do texto no The Register observou que não lê chinês e, por isso, afirmou não poder descrever com certeza absoluta tudo o que apareceu na tela. Ainda assim, registrou que a demonstração recebeu aplausos espontâneos do público presente, composto em parte por pessoas do mundo de língua chinesa.
O risco estaria restrito à China?
De acordo com Shi, as técnicas desenvolvidas poderiam ser usadas para provocar negação de serviço em escala, com potencial para derrubar uma rede inteira de carregadores de uma cidade. A hipótese levantada pelo pesquisador é que o problema não esteja restrito a um único fornecedor ou país.
Segundo a apresentação, ele testou 11 aplicativos publicados por provedores europeus de bicicletas e scooters compartilhadas e encontrou problemas semelhantes. Para o pesquisador, isso sugere que as conclusões podem ser aplicáveis também em outros mercados além da China.
A avaliação apresentada por Shi é que essas falhas decorrem de uma escolha de desenvolvimento voltada à conveniência do usuário, em detrimento da segurança. O texto original não informa resposta das empresas citadas nem detalha medidas corretivas já adotadas após a divulgação.
Por que esse tipo de falha preocupa?
O caso chama atenção porque envolve infraestrutura urbana conectada e usada no dia a dia. Se serviços desse tipo puderem ser manipulados por falhas básicas de autenticação e proteção de firmware, os impactos podem incluir:
- indisponibilidade de carregadores públicos;
- uso indevido de serviços sem pagamento;
- criação de clientes falsos em aplicativos;
- possível exposição de informações pessoais;
- risco de ataques em larga escala contra redes inteiras.
A apresentação em Black Hat Asia reforça a preocupação com a segurança de dispositivos conectados voltados ao uso público. No caso relatado, o alerta central é que a facilidade de acesso e operação desses serviços pode estar sendo priorizada sem controles equivalentes de proteção digital.
