已在加州、亞利桑那州和密西根州等州獲得批准,正在徹底改變車輛識別。這些板具有現代優勢,例如定制顯示器和被盜車輛警報,儘管傳統的金屬同類產品無法與之匹敵。
最近,一些令人震驚的安全漏洞帶來了可能被利用的令人不安的漏洞。
駭客數字車牌現在已經成為一種現象
IOActive 安全研究員 Josep Rodriguez 表示有線他發現了美國領先提供商 Reviver 數位車牌的嚴重缺陷。
透過對這些板進行一些物理篡改,羅德里格斯能夠「越獄」他們的韌體。因此,使用者可以更改車牌上顯示的號碼,甚至可以將另一個身分欺騙為其他車輛,這可能會引起交通執法逃稅和通行費詐欺的擔憂。
羅德里格斯示範如何將板拿走並裝上電纜,加載定制固件將允許藍牙命令立即修改板的顯示。
這種方式的駭客攻擊會禁用執法系統,包括攝影機速度監視器和收費站,並且在此過程中可能會因欺詐性交通罰單分配而不公平地使無辜司機受害。
越獄車牌超越 GPS 追踪
除了逃避交通罰單外,越獄車牌還可以免費使用內建 GPS 功能,無需每月 29.99 美元的 Reviver 訂閱費用。此外,駭客還可以破解毫無戒心的駕駛者的車牌,對其進行更改、監控車輛或更改車牌號碼。這進一步增強了隱私和安全問題。
難以修復的缺陷
這個漏洞來自Reviver晶片的硬體層面的缺陷,無法透過簡單的軟體更新來修正。
羅德里格斯表示,解決該問題的方法是更換整個硬件,這對於已售出的 65,000 個印版來說實際上是不可行的。
雖然 Reviver 聲稱駭客攻擊過程需要「專門的工具」和豐富的專業知識,但 Rodriguez 反駁了這一觀點,他表示,一旦對方法進行逆向工程,執行起來就像越獄 iPhone 一樣容易。
如果越獄工具在網路上洩露,將會引起廣泛的濫用。
防禦措施:正在做什麼?
Reviver 已同意重新設計其車牌,以便包含更安全的晶片,並明確提醒客戶,篡改車牌是違法行為。該公司還指出了適當的保護措施,例如,當車牌被拿走時,車主會發出警報。不過,羅德里格斯表示,這些預防措施是可以規避的。
大背景:邁向監管
這並不是 Reviver 的系統第一次面臨審查。 2022 年,另一位安全研究人員利用該公司網路基礎設施中的漏洞遠端操縱車牌。雖然這些問題很快就得到了修復,但硬體缺陷仍然是一個持續存在的問題。
越來越多的州正在討論數位車牌作為未來,而像羅德里格斯和薩姆·庫裡呼籲監管機構和執法人員解決此類漏洞。如果他們在車牌安全方面的實力因他們的唯一依賴而受到損害,那麼混亂就會盛行。
未來的數位車牌需要進行安全改進
數字車牌可能是持牌玩家的現代標準。這是汽車創新無限的時期,但其被濫用的可能性引發了有關準備和監管的問題。確保系統足夠安全以變得越來越流行至關重要。
至於庫裡,人們總是會找到利用新技術的方法。整個產業需要做的就是做出回應並理解這就是我們生活的現實。
