.
As placas de tinta legais da Califórnia receberam apenas um aceno do governo dos EUA em outubro, mas os engenheiros reversos já descobriram vulnerabilidades no sistema, permitindo rastrear cada placa, reprogramá-las ou até excluí-las por capricho.
Em uma postagem de blog do pesquisador de segurança Sam Curry, ele descreve um projeto voltado para o fabricante de placas digitais Reviver junto com alguns amigos, entre vários outros experimentos de segurança automotiva.
O sistema da Reviver, fabricante da única placa digital disponível comercialmente no mercado e a empresa por trás da pressão por Legalização da placa E Ink na Califórniachamou a atenção de Curry e de seus amigos porque incluía ferramentas de rastreamento interno para seus pratos.
“Como a placa do carro pode ser usada para rastrear veículos, ficamos muito interessados no Reviver e começamos a auditar o aplicativo móvel”, disse Curry.
As placas do Reviver começaram a aparecer nas estradas da Califórnia em 2017 como parte de um programa piloto. A Reviver disse que implantou cerca de 10.000 deles de 2017 até o programa piloto ser encerrado antes da legalização.
Uma característica das placas de tinta eletrônica seria notificar os proprietários se o veículo fosse movido sem seu conhecimento. Nesse caso, a placa pode ser alterada para ROUBADA.
Depois de cavar um pouco mais e criar uma nova conta do Reviver, Curry e seus amigos descobriram que sua conta foi atribuída a um objeto JSON de “empresa” exclusivo que lhes permitiu adicionar subusuários à sua conta.
Curiosamente, vários outros campos JSON no objeto da empresa também eram editáveis, incluindo um que definia o tipo de conta como “CONSUMER”. Outros tipos de conta não estavam listados no aplicativo móvel e, portanto, Curry e companhia recorreram ao URL de redefinição de senha do Reviver.
“Observamos que o [password reset] O site tinha inúmeras funcionalidades, incluindo a capacidade de administrar veículos, frotas e contas de usuários”, disse Curry.
O JavaScript no site também continha uma lista completa de outras funções, e a equipe descobriu que era capaz de editar seu tipo de conta para qualquer um que desejasse.
Curry e seus amigos finalmente obtiveram acesso a uma função chamada REVIVER, que quebrou a interface do usuário do site de redefinição de senha, informando-os de que poderia ser uma conta de administrador não projetada para interagir com a interface do consumidor.
Esse acabou sendo o caso.
“Podemos fazer qualquer uma das chamadas API normais (visualizar a localização do veículo, atualizar as placas do veículo, adicionar novos usuários às contas) e executar a ação usando nossa conta de superadministrador com autorização total”, disse Curry. O site também deu a eles acesso à funcionalidade de gerenciamento de frota.
Trolling também era uma possibilidade com as permissões que Curry descobriu que poderia conceder a si mesmo. A função REVIVER também concedeu acesso a qualquer concessionária que embalasse as placas, permitindo que Curry mudasse as imagens padrão de DEALER para, bem, qualquer frase inadequada que se encaixasse.
Além de elevar as permissões na conta usada no experimento, Curry disse que o objeto de função da empresa, que dá permissão para convidar subusuários, permite que ele convide outras pessoas com permissões elevadas.
“Um invasor real pode atualizar, rastrear ou excluir remotamente a placa REVIVER de qualquer pessoa”, disse Curry.
A vulnerabilidade foi relatada ao Reviver, que Curry disse que corrigiu “em menos de 24 horas”.
A empresa confirmou isso, dizendo Strong The One: “Estamos orgulhosos da resposta rápida de nossa equipe”, acrescentando: “Nossa investigação confirmou que esta vulnerabilidade potencial não foi mal utilizada. As informações do cliente não foram afetadas e não há evidências de risco contínuo relacionado a este relatório.”
As placas do Reviver são legais nas ruas da Califórnia, Arizona e Michigan, e no estado do Texas apenas para veículos comerciais. Vários outros estados estão testando a tecnologia; entre US $ 800 e quase US $ 1.000 para um contrato de dois anos, esperamos que o Reviver esteja um pouco mais seguro agora do que no lançamento. ®
.
