Säkerhetsforskare kunde få "superadministrativ åtkomst" till Reviver, den enda leverantören av Kaliforniens digitala registreringsskyltar, och spåra GPS-platsen för alla fordon de är associerade med.
Ett team av säkerhetsforskare fick framgångsrikt "full superadministrativ åtkomst", vilket gjorde det möjligt för dem att utföra en rad uppgifter som involverade företagets användarkonton och fordon, enligt ett blogginlägg av forskaren Sam Curry.
Efter att ha fått åtkomst kunde en hackare spåra den fysiska GPS-platsen för alla registreringsskyltar för Reviver-kunder, samt ändra sloganen eller det personliga meddelandet längst ner på skyltarna till godtycklig text.
De personliga meddelandena på registreringsskyltarna innefattar en funktion som gör det möjligt för kunder att digitalt uppdatera den nedre delen av sina skyltar för att visa olika meddelanden, som "Go Team!" eller "letar efter ett spår."
Dessutom kan en hackare uppdatera vilken fordonsstatus som helst till "STULEN", vilket skulle varna myndigheterna.
"En verklig angripare kan fjärruppdatera, spåra eller ta bort vem som helsts REVIVER-platta", skrev Curry i sitt blogginlägg och avslöjade att han och hans team hade hittat säkerhetsbrister i bilindustrin, inte bara med Reviver.
En hacker kan också komma åt alla användaruppgifter, inklusive vilka fordon folk ägde, deras fysiska adress, telefonnummer och e-postadress, samt få åtkomst till fleet management-funktionaliteten för alla företag, lokalisera och hantera alla fordon i en flotta, noterade Curry .
"Vi skulle kunna ta vilket som helst av de normala API-anropen (visa fordonsplats, uppdatera fordonsskyltar, lägga till nya användare till konton) och utföra åtgärden med vårt superadministratörskonto med full auktorisation," förklarade Curry.
"Vi kunde dessutom komma åt vilken återförsäljare som helst (t.ex. Mercedes-Benz-återförsäljare kommer ofta att paketera REVIVER-skyltar) och uppdatera standardbilden som används av återförsäljaren när det nyinköpta fordonet fortfarande hade DEALER-etiketter", tillade han. Reviver svarade på avslöjandena och berättade för Vice's Moderkortet att det sedan dess har åtgärdat problemen som upptäckts av forskarna.
"Vi är stolta över vårt teams snabba svar, som patchade vår applikation på mindre än 24 timmar och vidtog ytterligare åtgärder för att förhindra att detta inträffar i framtiden. Vår undersökning bekräftade att denna potentiella sårbarhet inte har missbrukats.”
[…] Hackare dreglar när Kalifornien rullar ut spårbara digitala registreringsskyltar […]