美國加州去年開始,容許車主選用並在車上安裝電子車牌。作為唯一獲許可的商用電子車牌製造商Reviver,被安全研究人員揭發,Reviver的電子車牌系統存有嚴重洞,使黑客可以跟蹤車輛、編輯帳戶資訊,甚至刪除車牌。
安全研究人員Sam Curry早前發布文章指,由於他發現Reviver的電子車牌可用於跟蹤車輛。因此,對Reviver系統及其應用程式的安全性問題感興趣,繼而針對Reviver展開安全實驗。
Curry在開設了新Reviver帳戶後,該帳戶被分配到一個公司的JSON(JavaScript Object Notation)中,並允許他將子用戶添加到該帳戶。其後發現Reviver的重設密碼網頁,以及獲得名為「REVIVER」的訪問權限,即Reviver系統管理員般的帳戶權限。使其可以在完全授權的情況下,進行查看車輛位置、更新電子車牌、為帳號新增用戶,和授予經銷商權限等多項操作。
他強調,若這種權限極大的帳戶落入真正的黑客手中,黑客將能遙距進行更新、追蹤系統中每一個電子車牌,甚至刪除任何一名Reviver用戶的電子車牌。
涉事公司24小時內修正 稱漏洞未被惡意使用
在Curry主動向Reviver報告相關漏洞後,該企隨即在24小時內修復漏洞,並稱漏洞未有被惡意使用,用戶資訊亦未有受到影響。