数字车牌近年来逐渐获得美国监管单位认可,包括加州、亚利桑那州、密西根州的一般车辆,以及德州的商用车辆已能合法使用,其他州也考虑纳入这项新技术。电子数字产品必须经得起安全考验,但数字车牌供应商Reviver被安全研究员发现系统漏洞,不仅关注每一个数字车牌,甚至可以删除车牌资料。
Reviver是美国采用数字车牌的重要推手之一,推出数字车牌和系统平台,并与电子纸大厂E Ink元太科技合作,以阳光下可视、低耗电低碳的电子纸显示器呈现车牌资讯。数字车牌还具备GPS功能,可在车辆被移动到不知何处时自动转为“失窃”,提醒车主和路人发生异状。
安全研究员柯瑞(Sam Curry)日前在个人博客发文,分享有关汽车产业的安全性实验。Reviver之所以会获得他和朋友的注意,是因素字车牌内置关注工具,其安全性是否经得起考验,于是开始研究Reviver的手机App。
柯瑞和朋友发现,Reviver账号被分配至一家公司旗下的JSON(JavaScript Object Notation)对象,允许账号再添加子用户。同一公司其他JSON对象可以编辑,包括将账号类型定义为“CONSUMER”。其他账号类型没有列在Reviver的手机App,于是柯瑞转而找出Reviver的重设密码网页,
柯瑞发现重设密码的网站还有大量功能,能够管理车辆、车队以及用户账号等。借由破坏重设密码网页的UI,柯瑞和朋友最终取得形同管理员权限的“REVIVER”,有机会取得Reviver任何API调用,像是查看车辆位置、更新数字车牌、为账号添加用户等。“REVIVER”也授给经销商权限,这让他们能够任意更改经销商的默认图案。
这种管理员权限如果落入恶意攻击者手中,将能远程进行更新、关注数字车牌,甚至删除任何一名Reviver用户的车牌。
柯瑞主动向Reviver通报这个重大漏洞,该公司随即在24小时内修复问题。经过调查,这个潜在漏洞所幸未被滥用,用户资讯没有受到影响,也没有证据显示任何风险与这次通报有关。
随着汽车发展走向智能化、电动化,并重视环保永续,数字车牌有望成为未来汽车科技的重点项目之一。数字车牌看似简单,但因产品设计架构涉及到平台系统与API,开发过程中容易疏忽漏洞。这种以软件为核心的设计理念,除了让制造商和经销商更容易生产和销售,更要确保软件设计安全无虞。
(首图来源:Reviver)