美國數位車牌驚爆系統漏洞,可追蹤車輛甚至刪除車牌

作者 | 發布日期 2023 年 01 月 11 日 12:59 | 分類 汽車科技 , 資訊安全 line share follow us in feedly line share
美國數位車牌驚爆系統漏洞,可追蹤車輛甚至刪除車牌


數位車牌近年來逐漸獲得美國監管單位認可,加州、亞利桑那州、密西根州一般車輛,以及德州商用車輛都已合法,其他州也考慮納入新技術。電子數位產品必須禁得起安全考驗,但數位車牌供應商 Reviver 被安全研究員發現系統漏洞,不僅可追蹤每個數位車牌,甚至可刪除車牌資料。

Reviver 是美國採用數位車牌的重要推手之一,有數位車牌和系統平台,並與電子紙大廠 E Ink 元太科技合作,以陽光下可視、低耗電低碳的電子紙顯示器呈現車牌資訊。數位車牌還具 GPS 功能,可在車輛移動到不知何處時自動轉為「失竊」,提醒車主和路人有異狀。

安全研究員柯瑞(Sam Curry)日前在個人部落格發文,分享汽車產業的安全性實驗。Reviver 之所以讓他和朋友注意,是因數位車牌內建追蹤工具,疑惑安全性是否禁得起考驗,於是開始研究 Reviver 的手機 App。

柯瑞和朋友發現,Reviver 帳號分配至某公司旗下的 JSON(JavaScript Object Notation)物件,允許帳號再新增子用戶。同公司其他 JSON 物件可編輯,將帳號類型定義為「CONSUMER」。其他帳號類型沒有列入 Reviver 的手機 App,於是柯瑞轉而找出 Reviver 的重設密碼網頁。

柯瑞發現重設密碼的網站還有大量功能,能管理車輛、車隊及用戶帳號等。藉破壞重設密碼網頁的 UI,柯瑞和朋友最終取得形同管理員權限的「REVIVER」,有機會取得 Reviver 任何 API 調用,像是查看車輛位置、更新數位車牌、為帳號新增用戶等。「REVIVER」也授予經銷商權限,讓他們任意更改經銷商的預設圖案。

這種管理員權限如果落入惡意攻擊者手中,能遠端更新、追蹤數位車牌,甚至刪除任何 Reviver 用戶的車牌。

柯瑞主動向 Reviver 通報這重大漏洞,Reviver 24 小時內就修復問題。經過調查,這潛在漏洞所幸未遭濫用,用戶資訊沒有受到影響,也沒有證據顯示任何風險與這次通報有關。

隨著汽車發展走向智慧化、電動化,並重視環保永續,數位車牌可望成為未來汽車科技的重點項目。數位車牌看似簡單,但因產品設計架構牽涉到平台系統與 API,開發過程容易疏忽形成不少漏洞。這種以軟體為核心的設計理念,除了讓製造商和經銷商更容易生產和銷售,更要確保軟體設計安全無虞。

(首圖來源:Reviver