La seguridad cibernética investigadores se las arregló para hackear el nuevo matrículas digitalesque son vendidos y administrados por la empresa de tecnología Vivificador. Las placas digitales, llamadas RplacasSalió a la venta en California a fines del año pasado, pero era solo cuestión de tiempo para que piratas informáticos encontró una puerta trasera en los sistemas de Reviver.
Afortunadamente, los sombreros blancos llegaron primero al obtener un «acceso súper administrativo» completo a través de la Vivificador sitio web, según Vicio. Esto permitió al equipo de investigadores rastrear la ubicación de todos los automóviles que usaban las placas, acceder a todos los registros de usuarios e incluso cambiar parte del texto que se muestra en las pantallas de placas digitales.
Nota del editor: Este artículo fue publicado originalmente el lunes 9 de enero. a las 06:30 p.m. EST. Se actualizó con una declaración de Reviver luego del descubrimiento del error, que dice la compañía ha sido parcheado
Cazarrecompensas de insectos Sam Curry explicado cómo el equipo comenzó a probar primero la aplicación móvil de Reviver y luego el sitio web. El equipo se interesó en Reviver debido a la capacidad de la empresa para rastrear las placas digitales, y cualquier automóvil que lleve una.
Curry dice que una vulnerabilidad en el Javascript del sitio web permitió que el equipo cambiara un tipo de cuenta de un usuario regular a un administrador, dándoles acceso a la ubicación GPS y toda la información de los usuarios registrados: esta información incluye «vehículos de propiedad de las personas, su dirección física, número de teléfono y dirección de correo electrónico.” Además de eso, el error dio investigadores acceso a los mismos permisos e info de flotas de concesionarios utilizando placas digitales:
Dado que nuestra cuenta de administrador teóricamente tenía permisos elevados, nuestra primera prueba fue simplemente consultar una cuenta de usuario y ver si podíamos acceder a los datos de otra persona: ¡esto funcionó!
Podríamos tomar cualquiera de las llamadas API normales (ver la ubicación del vehículo, actualizar las placas del vehículo, agregar nuevos usuarios a las cuentas) y realizar la acción usando nuestra cuenta de superadministrador con autorización completa.
En este punto, informamos la vulnerabilidad y observamos que fue parcheada en menos de 24 horas. Un atacante real podría actualizar, rastrear o eliminar de forma remota la placa REVIVER de cualquier persona. Además, podíamos acceder a cualquier concesionario (p. ej., los concesionarios Mercedes-Benz a menudo incluyen placas REVIVER) y actualizar la imagen predeterminada utilizada por el concesionario cuando el vehículo recién comprado todavía tenía etiquetas DEALER.
El error también permitió a los investigadores actualizar el estado de cualquier placa de CA digital a «ROBADO», lo que podría alertar a la policía y posiblemente enviarlos después de un automóvil etiquetado falsamente como objeto de robo. Los investigadores dijeron que también podrían cambiar el eslogan o el texto en la parte inferior de la placa, que los usuarios pueden cambiar a voluntad, pero el equipo no dijo que podrían cambiar el número de placa real.
Aun así, el error encontrado en el sitio de Reviver podría haberle dado a alguien una cantidad alarmante de información y control sobre las placas digitales. Como señala Curry, Reviver corrigió el error dentro de las 24 horas posteriores a la notificación; la empresa compartió un comunicado con Jalopnik dicho una investigación posterior encontró que el la “vulnerabilidad potencial” no había sido mal utilizada, ni se había filtrado ningún dato del usuario. Desde rev.río:
Recientemente, un investigador de ciberseguridad se puso en contacto con nosotros en relación con posibles vulnerabilidades de aplicaciones en la industria automotriz. Nuestro equipo investigó de inmediato este informe, se reunió con el investigador y, por precaución, contrató a profesionales líderes en seguridad y privacidad de datos para que lo ayuden.
Estamos orgullosos de la rápida respuesta de nuestro equipo, que corrigió nuestra aplicación en menos de 24 horas y tomó medidas adicionales para evitar que esto suceda en el futuro. Nuestra investigación confirmó que esta vulnerabilidad potencial no ha sido mal utilizada. La información del cliente no se ha visto afectada y no hay evidencia de riesgo continuo relacionado con este informe. Como parte de nuestro compromiso con la seguridad y la privacidad de los datos, también aprovechamos esta oportunidad para identificar e implementar salvaguardas adicionales para complementar nuestras importantes protecciones existentes.
La ciberseguridad es fundamental para nuestra misión de modernizar la experiencia de conducción y continuaremos trabajando con profesionales, herramientas y sistemas líderes en la industria para construir y monitorear nuestras plataformas seguras para vehículos conectados.
