A biztonsági kutatók „szuper adminisztratív hozzáférést” tudtak szerezni a Reviverhez, a kaliforniai digitális rendszámtáblák egyedüli szolgáltatójához, és nyomon követhették az összes jármű GPS-helyzetét, amelyhez kapcsolódnak.
Sam Curry kutató blogbejegyzése szerint egy biztonsági kutatócsoport sikeresen megszerezte a „teljes szuperadminisztrációs hozzáférést”, amely lehetővé tette számukra a vállalat felhasználói fiókjaival és járműveivel kapcsolatos feladatok elvégzését.
A hozzáférés megszerzése után a hacker nyomon követheti a Reviver ügyfelei összes rendszámának fizikai GPS-pozícióját, valamint tetszőleges szövegre módosíthatja a táblák alján található szlogent vagy személyre szabott üzenetet.
A rendszámtáblákon megjelenő személyre szabott üzenetek egy olyan funkciót tartalmaznak, amely lehetővé teszi az ügyfelek számára, hogy digitálisan frissítsék rendszámuk alsó részét, hogy különböző üzeneteket jelenítsenek meg, például: „Go Team!” vagy „nyomot keresek”.
Ezenkívül a hacker bármelyik jármű állapotát „STOLEN”-ra frissítheti, ami figyelmezteti a hatóságokat.
"Egy tényleges támadó távolról frissítheti, nyomon követheti vagy törölheti bárki REVIVER-tábláját" - írta Curry blogbejegyzésében, felfedve, hogy csapatával az autóiparban találtak biztonsági réseket, nem csak a Reviver esetében.
A hacker hozzáférhet az összes felhasználói rekordhoz, beleértve az emberek tulajdonában lévő járműveket, azok fizikai címét, telefonszámát és e-mail címét, valamint hozzáférhet bármely vállalat flottakezelési funkciójához, megkeresheti és kezelheti a flotta összes járművét – jegyezte meg Curry. .
„A szokásos API-hívások bármelyikét fogadhatjuk (a jármű helyének megtekintése, a jármű rendszámainak frissítése, új felhasználók hozzáadása a fiókokhoz), és végrehajthatjuk a műveletet a kiemelt rendszergazdai fiókunk használatával, teljes jogosultsággal” – magyarázta Curry.
„Ezen felül hozzáférhetünk bármely kereskedőhöz (pl. a Mercedes-Benz márkakereskedések gyakran csomagolnak REVIVER-táblákat), és frissíthetjük a kereskedő által használt alapértelmezett képet, amikor az újonnan vásárolt járművön még KERESKEDŐ-címkék voltak” – tette hozzá. Alaplap, hogy azóta javította a kutatók által felfedezett problémákat.
„Büszkék vagyunk csapatunk gyors reagálására, amely 24 órán belül kijavította az alkalmazásunkat, és további intézkedéseket tett, hogy ez a jövőben ne forduljon elő. Vizsgálatunk megerősítette, hogy ezzel a potenciális sérülékenységgel nem éltek vissza.”
[…] A hackerek nyálaznak, miközben Kalifornia nyomon követhető digitális rendszámtáblákat bocsát ki […]