Plăcuțele digitale de înmatriculare pot fi folosite pentru a vă urmări, a fura date, a găsi hackeri

• Adăugarea unui dispozitiv permanent conectat la mașină ar putea avea unele beneficii. De asemenea, introduce o nouă modalitate prin care hackerii vă urmăresc sau colectează informații personale, așa cum a raportat pentru prima dată de Vice.
• Un grup de cercetători în domeniul securității cibernetice a lansat recent un raport privind diversele puncte slabe pe care le-au descoperit la mașinile conectate. Hackerii au găsit modalități de a localiza cu precizie mașinile de la producătorii OEM majori, inclusiv numele clienților, numerele de telefon, adresele de e-mail și starea împrumuturilor.
  
• Pentru RPlates de la Reviver, hackerii au descoperit că pot schimba mesajul afișat pe plăcuțele de înmatriculare și, da, mașinile de șenile. Vulnerabilitatea a fost remediată.

Ei bine, nu a durat mult. DMV din California a aprobat noile numere de înmatriculare digitale ale lui Reviver în octombrie, iar acum am aflat cât de vulnerabile ar putea fi acestea la atacurile de hacking din exterior.

Reviver, singura companie care oferă plăcuțe digitale, subliniază că acestea oferă câteva avantaje tehnice față de plăcile metalice tradiționale, cum ar fi reînnoirea automată a plăcuțelor și capacitatea de a schimba ceea ce spun la lucruri precum FURAT în cazul în care mașina atacată este, ei bine, furat. Dar au existat întotdeauna dezavantaje, inclusiv costuri mai mari și complexitate crescută.

Săptămâna trecută, după cum a raportat Vice, un grup de cercetători în securitate cibernetică interesați să găsească puncte de acces la vehiculele conectate a anunțat că au găsit vulnerabilități în mai multe mărci și servicii. Aceasta a inclus capacitatea de a localiza și urmări vehicule de la mai multe mărci, inclusiv Kia, Honda, Infiniti, Nissan, Acura, Hyundai și Genesis. Ei ar putea găsi, de asemenea, detalii personale despre clienții multor mărci, inclusiv statutul de împrumut al clienților Toyota, potrivit raportului publicat.

Când a venit vorba de o rețea de vehicule conectate numită Spireon, care se ocupă în principal cu aplicații de gestionare a flotei, hackerii au susținut că „au acces la tot”. Pentru Reviver, echipa sa conectat la rețea fără prea multe probleme aparente. Cercetătorii în domeniul securității cibernetice au lansat detalii despre modul în care au obținut acces la backend-ul Reviver, ceea ce a implicat vizualizarea comportamentului aplicației și a altor servicii online în timpul unei solicitări de resetare a parolei. Persoanele cu o mai bună înțelegere a liniilor de cod pot vedea detaliile aici.

Odată intrați în rețeaua Reviver, cercetătorii au avut „acces super administrativ complet” la toate conturile de utilizator și vehicule pentru toate vehiculele conectate la Reviver. Acest lucru le-ar permite să urmărească locația fizică a acestor plăcuțe de înmatriculare, să schimbe plăcuța de înmatriculare pentru a spune orice doresc și să acceseze toate înregistrările utilizatorilor, „inclusiv vehiculele deținute de oameni, adresa lor fizică, numărul de telefon și adresa și e-mailul” .

Oficial, Reviver admite că datele clienților pe care le colectează ar putea fi vulnerabile pentru actorii externi. „Am implementat proceduri de securitate rezonabile și adecvate pentru a ne proteja împotriva pierderii, utilizării greșite și accesului neautorizat la informațiile pe care ni le furnizați”, a spus compania pe site-ul său. „Vă rugăm să rețineți, totuși, că nicio transmisie sau stocare de date nu poate fi garantată a fi 100% sigură. În consecință, deși ne străduim să vă protejăm informațiile și confidențialitatea, nu putem garanta sau garanta securitatea oricărei informații pe care le dezvăluiți sau le transmiteți către Servicii”.

Reviver a răspuns rapid

Lucrurile par a fi rezolvate, deocamdată. Cercetătorii în securitate cibernetică au spus că au raportat vulnerabilitatea la Reviver și că a fost corectată rapid. Cu toate acestea, dacă acești hackeri cu pălărie albă nu au încercat să rezolve problemele, ei aveau puterea de a „actualiza, urmări sau șterge de la distanță placa Reviver a oricui”. Cercetătorii au spus că „s-ar putea, de asemenea, să se conecteze la orice dealer (de exemplu, reprezentanțele Mercedes-Benz vor împacheta plăcuțele de înmatriculare Reviver) și să actualizeze imaginea implicită folosită de dealer atunci când vehiculul nou achiziționat avea încă etichetele de dealer”. De asemenea, au avut acces complet la funcționalitatea de gestionare a flotei Reviver.

Într-o declarație, a spus Reviver Mașină și șofer sa întâlnit cu un membru al echipei de cercetare a securității cibernetice după ce a fost informat despre potențiala vulnerabilitate a aplicației.

După întâlnire, Reviver nu numai că și-a reparat cererea în mai puțin de 24 de ore, dar și „a luat măsuri suplimentare pentru a preveni acest lucru în viitor”. Reviver a spus că nicio informație despre clienți nu a fost afectată. „Ca parte a angajamentului nostru față de confidențialitatea și securitatea datelor, am folosit, de asemenea, această oportunitate pentru a identifica și implementa măsuri de protecție suplimentare pentru a completa protecțiile noastre existente și semnificative”, a spus compania. „Securitatea cibernetică este esențială pentru misiunea noastră de a moderniza experiența de conducere și vom continua să lucrăm cu profesioniști, instrumente și sisteme de vârf în industrie pentru a construi și monitoriza platformele noastre sigure pentru vehiculele conectate.”