Kia alerta que rastreamento de veículos conectados é para conveniência, não para segurança
Aprofundamento CEVIU
Aprofundamento
O projeto Car é uma iniciativa técnica de análise de vulnerabilidades em sistemas embarcados de veículos conectados, não um produto comercial, mas uma lente para expor falhas reais de segurança no design de fábrica. Ele mostra que a geolocalização integrada dos carros modernos não é um rastreador, mas um recurso de conveniência limitado por três barreiras concretas: (1) restrições legais de privacidade (como o GDPR e sua versão britânica), que impedem acesso imediato a dados de localização mesmo em casos de roubo; (2) arquitetura de software com processos intencionalmente inseguros, como o modo de 'reset' do sistema de entretenimento, projetado para facilitar troca de dono, mas explorável para desvincular o app do proprietário em segundos; e (3) ausência de poder independente: os sistemas de fábrica não têm bateria própria, não operam fora da rede celular do carro e não se conectam a centrais de monitoramento profissional.
Isso contrasta diretamente com rastreadores certificados pela Thatcham Research, que exigem fonte de energia autônoma, comunicação redundante (satélite + celular) e integração obrigatória com autoridades. O caso de Ian Fogg não é exceção: seu Kia tinha AirTag, câmera com IA e Kia Connect, mas nenhuma dessas camadas foi projetada para resistir a um ataque coordenado. A Apple bloqueou o AirTag com som; o sistema de entretenimento da Kia entregou o controle ao invasor; e a Kia, mesmo sabendo onde o carro estava, só liberou coordenadas com até dois dias de atraso, porque cada solicitação exige preenchimento manual de formulário e respeito ao prazo legal de resposta de dados pessoais.
O que mudou
Em março de 2026, o caso de Ian Fogg tornou-se o primeiro exemplo documentado de falha sistêmica em tempo real com impacto forense: não foi rumor, teste ou demonstração, foi um roubo real com rastreamento falhado em todas as camadas. Antes disso, a cobertura CEVIU já havia apontado o risco estrutural de tecnocentrismo em segurança (2026-05-14) e a desconexão entre interface sofisticada e proteção física (2026-04-23). Agora, há evidência empírica de que a lacuna não é teórica: é operacional, regulatória e de engenharia. A Kia confirmou publicamente o que antes era implícito, que o serviço não é um rastreador, e isso muda o padrão de responsabilidade esperado do consumidor.
Por que isso importa
Carros conectados são alvos de ataques reais, não hipotéticos. Em 2025, 55 mil veículos foram roubados no Reino Unido, e apenas 13% recuperados. A falsa sensação de segurança gerada por apps de fábrica leva proprietários a dispensarem soluções certificadas, como rastreadores com bateria própria e integração direta com polícia. Isso não é erro de uso: é falha de projeto. E essa falha tem consequências jurídicas reais, empresas podem ser responsabilizadas por não informar claramente as limitações do serviço, especialmente quando o marketing sugere funcionalidade de segurança. Para frotistas e seguradoras, o projeto Car reforça que confiar na geolocalização de fábrica é assumir risco operacional comprovado.
Linha do tempo
CEVIU publica análise sobre personalização da internet por IA sem contrapartida de escolha do usuário
CEVIU destaca falha de projeto na Waymo: uso de motoristas humanos para fechar portas em vez de automatizar sistema já existente
CEVIU critica metáfora do 'piloto automático' para IA agentic, destacando falta de transparência e explicabilidade
CEVIU alerta que demonstrações chamativas de IA em software não substituem provas de confiança, precisão e segurança
CEVIU publica crítica ao foco excessivo em técnicas de abuso de IA, em vez de dados reais de incidentes
CEVIU reporta riscos de vigilância abusiva e falhas de segurança em mais de 100 mil leitores de placas com IA nos EUA
Kia alerta publicamente que rastreamento de veículos conectados é para conveniência, não para segurança, após caso real de roubo com falha de recuperação
Perguntas frequentes
Posso usar o app da montadora para recuperar meu carro se for roubado?
Não de forma eficaz no Reino Unido e Europa. O app Kia Connect, por exemplo, exige solicitação manual por formulário, com resposta em até 48 horas, muito depois de o veículo ter cruzado fronteiras. A Kia afirma explicitamente que o serviço é para conveniência, não segurança.
Por que o AirTag não funcionou para recuperar o carro?
Funcionou inicialmente, mas foi descartado pelos ladrões porque o sistema antirrastreamento da Apple faz o dispositivo emitir alerta sonoro quando está longe do dono há mais de 24 horas. É uma proteção contra stalking, mas também contra recuperação de veículos.
Existe alguma solução confiável de rastreamento para carros?
Sim, dispositivos certificados pela Thatcham Research, com bateria própria, comunicação redundante (celular + satélite) e integração direta com centrais de monitoramento profissional. Eles operam independentemente do sistema de bordo e não dependem de consentimento do proprietário para acionar autoridades.
A Kia oferece rastreamento real em algum lugar?
Sim, nos EUA, mas apenas para assinantes do pacote premium Kia Connect Security. Não está disponível na Europa nem no Reino Unido, por decisões comerciais e conformidade regulatória local.
Fontes
- bbc.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 03 de julho de 2026
- Editoria
- CEVIU Segurança da Informação

