Cyfrowe tablice rejestracyjne zhakowane
Cyfrowe tablice rejestracyjne dystrybuowane przez firmę Reviver to tak naprawdę cyfrowe wyświetlacze. Mogą prezentować numery rejestracyjne pojazdów, treści o których wspomniałem wyżej oraz personalizowane komunikaty. Producent wprowadził także popularne „bajery” jak tryb jasny i ciemny wyświetlania, ale nie przyłożył się do kwestii związanych z bezpieczeństwem.
O sprawie poinformował na swojej witrynie internetowej Sam Curry, haker zarabiający na życie m.in. uczestniczeniem w programach polowania na bugi. Przekazał on, że cyberprzestępcy mają możliwość zdalnego śledzenia użytkowników tablic rejestracyjnych Reviver, ale też edytowania ich oraz kasowania z systemu wszystkich informacji o danym użytkowniku. Jest to możliwe m.in. dzięki obecności karty SIM w każdym z takich urządzeń.
Curry tłumaczy, że luka w JavaScript witryny Reviver pozwoliła zmienić typ konta ze zwykłego użytkownika na administratora, dając im dostęp do lokalizacji GPS i wszystkich informacji o zarejestrowanych użytkownikach. Te informacje obejmują pojazdy przez nich posiadane, adres, numer telefonu i adres e-mail. Ponadto, luka dała zespołowi Curry’ego dostęp do tych samych uprawnień i informacji dotyczących flot.
Błąd pozwolił nawet hakerom zaktualizować status dowolnej cyfrowej tabliczki na „SKRADZIONY”, co może zaalarmować policję i być przyczyną poważnych problemów kierowcy. Badacze donieśli, że mogli również zmienić hasło lub tekst na dole tabliczki. Zespół nie powiedział jednocześnie, czy był w stanie zmodyfikować numer tablicy rejestracyjnej.
Reviver stanął na wysokości zadania
Jak zauważa Curry, firma Reviver załatała błąd w ciągu 24 godzin po jego zgłoszeniu. Producent tablic twierdzi, że późniejsze dochodzenie wykazało, że „potencjalna luka” nie została wykorzystana przez przestępców i nie nastąpił żaden wyciek danych użytkowników.
Źródło: Sam Curry