Калифорнийские цифровые номерные знаки на 100% отслеживаются с помощью GPS и двусторонней связи. Украсть машину? На табличке будет написано STOLEN, и каждый дюйм вашего путешествия будет записан. Теперь исследователи обнаруживают, что всю систему можно взломать, а это означает, что взлом может превратить дороги Калифорнии в полный хаос. ⁃ Редактор ТН
Исследователи безопасности смогли получить «суперадминистративный доступ» к Reviver, единственному поставщику цифровых номерных знаков в Калифорнии, и отслеживать местоположение всех транспортных средств, с которыми они связаны, по GPS.
Согласно сообщению в блоге исследователя Сэма Карри, группа исследователей безопасности успешно получила «полный суперадминистративный доступ», который позволил им выполнять множество задач, связанных с учетными записями пользователей и транспортными средствами компании.
Получив доступ, хакер мог отследить физическое местоположение GPS всех номерных знаков клиентов Reviver, а также изменить слоган или персонализированное сообщение внизу номерных знаков на произвольный текст.
Персонализированные сообщения на номерных знаках включают в себя функцию, которая позволяет клиентам в цифровом виде обновлять нижнюю часть своих номерных знаков для отображения различных сообщений, таких как «Вперед, команда!» или «ищу след».
Кроме того, хакер может изменить статус любого транспортного средства на «Украден», что предупредит власти.
«Настоящий злоумышленник может удаленно обновить, отследить или удалить чью-либо табличку REVIVER», — написал Карри в своем блоге, сообщив, что он и его команда обнаружили уязвимости в системе безопасности в автомобильной промышленности, а не только в Reviver.
Хакер также может получить доступ ко всем пользовательским записям, включая информацию о том, какие транспортные средства принадлежат людям, их физический адрес, номер телефона и адрес электронной почты, а также получить доступ к функциям управления автопарком для любой компании, найти и управлять всеми транспортными средствами в парке, отметил Карри. .
«Мы могли бы принять любой из обычных вызовов API (просмотр местоположения автомобиля, обновление номерных знаков автомобиля, добавление новых пользователей в учетные записи) и выполнить действие, используя нашу учетную запись суперадминистратора с полной авторизацией», — пояснил Карри.
«Мы могли бы дополнительно получить доступ к любому дилеру (например, дилерские центры Mercedes-Benz часто упаковывают таблички REVIVER) и обновить изображение по умолчанию, используемое дилером, когда только что купленный автомобиль все еще имел теги DEALER», — добавил он. Материнская плата, на которой с тех пор были исправлены проблемы, обнаруженные исследователями.
«Мы гордимся быстрым ответом нашей команды, которая исправила наше приложение менее чем за 24 часа и приняла дополнительные меры для предотвращения подобных ситуаций в будущем. Наше расследование подтвердило, что эта потенциальная уязвимость не использовалась не по назначению».
Патрик Вуд является ведущим экспертом в области устойчивого развития, Зеленой экономики, Повестки дня на XXI век, Повестки дня на период до 21 года и исторической технократии. Он является автором книги «Восстание технократии: троянский конь глобальной трансформации» (2030) и соавтором книги «Трехсторонние отношения над Вашингтоном», тома I и II (2015–1978) с покойным Энтони С. Саттоном.
wpDiscuz
[…] Хакеры пускают слюни, когда Калифорния выпускает отслеживаемые цифровые номерные знаки […]