デジタルナンバープレートは、あなたを追跡し、データを盗み、ハッカーが見つけるために使用される可能性があります

• 車に常設の接続デバイスを追加すると、いくつかの利点が得られる場合があります。 また、ハッカーがあなたを追跡したり、個人情報を収集したりするための新しい方法も導入されています。 バイス.
• 最近、サイバーセキュリティ研究者のグループが、コネクテッド カーで発見したさまざまな弱点に関するレポートを公開しました。 ハッカーは、顧客名、電話番号、電子メール アドレス、ローンのステータスなど、主要な OEM の自動車を正確に特定する方法を見つけました。
  
• Reviver の RPlates の場合、ハッカーはプレートに表示されるメッセージを変更し、車を追跡できることを発見しました。 脆弱性は修正されました。

それほど時間はかかりませんでした。 カリフォルニア州の DMV は 10 月に Reviver の新しいデジタル ナンバー プレートを承認しましたが、外部からのハッキング攻撃に対していかに脆弱であるかがわかりました。

デジタル ナンバー プレートを提供する唯一の会社である Reviver は、タグの自動更新や、取り付けられている車が破損した場合に STOLEN のようなものに言う内容を変更する機能など、従来の金属プレートに比べていくつかの技術的利点を提供していると指摘しています。 、盗まれた。 しかし、コストの高さや複雑さの増加など、常にマイナス面がありました。

先週、Vice が報じたように、コネクテッド カーへのアクセス ポイントの発見に関心のあるサイバーセキュリティ研究者のグループが、いくつかのブランドやサービスに脆弱性を発見したと発表しました。 これには、Kia、Honda、Infiniti、Nissan、Acura、Hyundai、Genesis など、複数のブランドの車両を見つけて追跡する機能が含まれていました。 公開されたレポートによると、彼らはまた、トヨタの顧客のローン状況を含む、多くのブランドの顧客の個人情報を見つけることができました.

主にフリート管理アプリケーションに関係する Spireon と呼ばれるコネクテッド カー ネットワークに関しては、ハッカーは「すべてにアクセスできた」と述べています。 Reviver の場合、チームはそれほど手間をかけずにネットワークにアクセスしました。サイバーセキュリティの研究者は、Reviver のバックエンドにアクセスする方法の詳細を公開しました。これには、パスワード リセット リクエスト中にアプリや他のオンライン サービスがどのように動作するかを確認することが含まれていました。 コード行をよりよく理解している人は、 詳細はこちら.

Reviver のネットワーク内に入ると、研究者は Reviver に接続されたすべての車両のすべてのユーザー アカウントと車両への「完全なスーパー管理者アクセス」を取得しました。 これにより、これらのプレートの物理的な位置を追跡し、プレートを変更して好きなように変更し、「所有している車両、物理的な住所、電話番号、電子メール アドレスを含む」すべてのユーザー レコードにアクセスできたはずです。

公式には、Reviver は、収集した顧客データが外部の攻撃者に対して脆弱である可能性があることを認めています。 「私たちは、あなたが私たちに提供した情報への損失、誤用、および不正アクセスから保護するのに役立つ合理的かつ適切なセキュリティ手順を採用しました」と同社はウェブサイトで述べています. 「ただし、データの送信または保存が 100% 安全であることを保証することはできないことに注意してください。そのため、お客様の情報とプライバシーを保護するよう努めていますが、お客様が開示または送信する情報のセキュリティを保証することはできません。サービス。」

リバイバーは迅速に対応しました

今のところ、問題は解決したようです。 サイバーセキュリティの研究者は、脆弱性を Reviver に報告し、すぐにパッチが適用されたと述べています。 それでも、これらのホワイト ハット ハッカーが問題を解決しようとしていなかったとしたら、彼らは「誰かの Reviver プレートをリモートで更新、追跡、または削除する」力を持っていました。 研究者は、「追加で任意のディーラーにアクセスし (たとえば、Mercedes-Benz のディーラーは Reviver プレートをパッケージ化します)、新しく購入した車両にまだディーラー タグが付いている場合にディーラーが使用するデフォルトの画像を更新することができます」と述べています。 また、Reviver のフリート管理機能に完全にアクセスできるようになりました。

声明の中で、リバイバーは語った 車とドライバー 潜在的なアプリケーションの脆弱性について知らされた後、サイバーセキュリティ研究チームのメンバーと会いました。

会議の後、Reviver は 24 時間以内にアプリケーションにパッチを適用しただけでなく、「今後この問題が発生しないようにさらなる対策を講じました」。 Reviver は、影響を受けた顧客情報はないと述べた。 「データセキュリティとプライバシーへのコミットメントの一環として、この機会を利用して、既存の重要な保護を補完する追加の保護手段を特定して実装しました」と同社は述べています。 「サイバーセキュリティは、運転体験を近代化するという私たちの使命の中心であり、業界をリードする専門家、ツール、システムと協力して、コネクテッドカー用の安全なプラットフォームを構築および監視していきます。」