Sikkerhetsforskere var i stand til å få "superadministrativ tilgang" til Reviver, den eneste leverandøren av Californias digitale skilt, og spore GPS-posisjonen til alle kjøretøyene de er tilknyttet.
Et team av sikkerhetsforskere oppnådde med suksess "full super administrativ tilgang", som tillot dem å utføre en rekke oppgaver som involverte selskapets brukerkontoer og kjøretøy, ifølge et blogginnlegg av forskeren Sam Curry.
Etter å ha fått tilgang, kunne en hacker spore den fysiske GPS-posisjonen til alle skiltene til Reviver-kunder, samt endre slagordet eller den personlige meldingen nederst på platene til vilkårlig tekst.
De personlige meldingene på skiltene innebærer en funksjon som lar kunder digitalt oppdatere den nederste delen av skiltene for å vise forskjellige meldinger, for eksempel "Go Team!" eller "leter etter en sti."
I tillegg kan en hacker oppdatere hvilken som helst kjøretøystatus til «STJÅLET», noe som vil varsle myndighetene.
"En faktisk angriper kan eksternt oppdatere, spore eller slette noens REVIVER-plate," skrev Curry i blogginnlegget sitt, og avslørte at han og teamet hans hadde funnet sikkerhetssårbarheter på tvers av bilindustrien, ikke bare med Reviver.
En hacker kan også få tilgang til alle brukeroppføringer, inkludert hvilke kjøretøy folk eide, deres fysiske adresse, telefonnummer og e-postadresse, samt få tilgang til flåteadministrasjonsfunksjonaliteten for ethvert selskap, lokalisere og administrere alle kjøretøyer i en flåte, bemerket Curry .
"Vi kunne ta alle de vanlige API-kallene (se kjøretøyplassering, oppdatering av kjøretøyskilt, legge til nye brukere på kontoer) og utføre handlingen ved å bruke vår superadministratorkonto med full autorisasjon," forklarte Curry.
"Vi kunne i tillegg få tilgang til en hvilken som helst forhandler (f.eks. vil Mercedes-Benz-forhandlere ofte pakke REVIVER-skilter) og oppdatere standardbildet som ble brukt av forhandleren når det nykjøpte kjøretøyet fortsatt hadde DEALER-merker," la han til. Reviver svarte på avsløringene og fortalte Vice's Hovedkortet at det siden har lappet problemene oppdaget av forskerne.
"Vi er stolte av teamets raske respons, som lappet applikasjonen vår på under 24 timer og tok ytterligere tiltak for å forhindre at dette skjer i fremtiden. Vår undersøkelse bekreftet at denne potensielle sårbarheten ikke har blitt misbrukt.»
[…] Hackere sikler mens California ruller ut sporbare digitale lisensplater […]