door Jerod MacDonald-Evoy, Arizona spiegel
3 januari 2025
Beveiligingsonderzoekers hebben een exploit ontdekt waarmee iemand de digitale kentekenplaten kan hacken die bestuurders in Arizona mogen gebruiken, waardoor een mogelijkheid ontstaat voor slechte actoren om het kenteken te wijzigen.
Eerst gerapporteerd door Wiredbeveiliging onderzoekers met IOActive waren in staat een digitaal kenteken te jailbreaken en elk gewenst bericht of beeld op het apparaat weer te geven. Jailbreaken is het verwijderen van beperkingen op een slim apparaat om de installatie van ongeautoriseerde software mogelijk te maken.
De kentekenplaten zijn gemaakt door een bedrijf genaamd Reviver, de toonaangevende fabrikant van digitale kentekenplaten in de Verenigde Staten. Beveiligingsonderzoeker Josep Rodriguez kon een sticker op de achterkant van de plaat verwijderen en een kabel bevestigen waarmee hij de firmware van de plaat kon wijzigen. Rodriguez kon vervolgens Bluetooth-opdrachten gebruiken om het display te veranderen naar wat hij wilde.
De beveiligingsonderzoeker wees Wired erop dat deze kwetsbaarheid bestuurders met digitale kentekenplaten in staat zou kunnen stellen tolgelden, snelheidsovertredingen en meer te ontwijken door hun kenteken te veranderen. Als alternatief kan iemand het kenteken van een nietsvermoedende persoon hacken en afbeeldingen weergeven waardoor hij of zij in de problemen kan komen met de politie, zoals het kenteken van een gestolen voertuig.
Digitale kentekenplaten zijn gepromoot als een manier om criminaliteit te helpen bestrijden door een voertuigeigenaar via zijn smartphone op zijn kenteken te laten weergeven dat zijn voertuig is gestolen. In een verklaring aan de Arizona Mirror zei Reviver dat het Wired-artikel “belangrijke details heeft weggelaten” om “een sensationeel en misleidend verhaal” te creëren, en dat het bedrijf met “alle partners” samenwerkt.
“Helaas zijn pogingen om kentekenplaten te manipuleren niet nieuw”, zei Reviver in zijn verklaring. “Objectief gezien is het manipuleren van standaard metalen platen veel eenvoudiger dan het knoeien met de digitale platen van Reviver, die zijn ontworpen met meerdere beschermingslagen.”
Reviver gaf toe dat “ervaren beoefenaars in theorie elk elektronisch apparaat kunnen jailbreaken.” Maar het bedrijf zei dat dit illegaal is, en het bedrijf zei dat klanten gewaarschuwd zouden worden als hun kentekenplaat losraakt en noemde het scenario van IOActive “zeer onwaarschijnlijk” dat dit zich in de praktijk zou voordoen.
Volgens ADOT-woordvoerder Bill Lamoreaux heeft de Arizona Department of Transportation Motor Vehicles Division per 31 december 2024 1.634 digitale kentekenplaten uitgegeven. Er zijn meer dan 8 miljoen geregistreerde voertuigen in de staat.
“ADOT MVD is op de hoogte en praat met het bedrijf over deze kwestie en zal het herontwerpproces van de plaat monitoren”, vertelde Lamoreaux aan de Mirror. “Iedereen die frauduleuze activiteiten vermoedt met betrekking tot de titel en registratie van zijn voertuig, rijbewijs of identiteitskaart, wordt aangemoedigd dit te melden via de ADOT-fraudehotline.”
Een woordvoerder van het Arizona Department of Public Safety heeft de verklaring van ADOT in acht genomen, en geen van beide instanties heeft vragen beantwoord over de vraag of ze meldingen hebben ontvangen van digitale kentekenplaten in Arizona die zijn gehackt.
Dit is niet de eerste keer dat beveiligingsonderzoekers kwetsbaarheden in Reviver hebben gevonden.
In 2022, veiligheidsonderzoeker Sam Curry ontdekte een exploit op de website van Reviver die hem als beheerder toegang gaf tot hun backend-database, waardoor hij toegang kreeg tot het bijhouden of wijzigen van kentekenplaten. Reviver heeft vervolgens de exploit gepatcht die Curry publiceerde.
In een gesprek met Wired verzette Rodriguez zich ook tegen de uitspraken van Reviver dat alleen een ervaren professional hun kenteken zou kunnen jailbreaken. Hij wees erop dat chauffeurs waarschijnlijk al gejailbreakte kentekenplaten online kunnen kopen, net als andere elektronica direct beschikbaar, gejailbreakt online voor aankoopof doe het gemakkelijk zelf.
IOActive zei dat ze Reviver al meer dan een jaar herhaaldelijk probeerden te informeren over het probleem, en pas toen Wired contact opnam met Reviver reageerde het bedrijf.
Arizona spiegel maakt deel uit van States Newsroom, een non-profit nieuwsnetwerk dat wordt ondersteund door subsidies en een coalitie van donoren als een publieke liefdadigheidsinstelling 501c(3). Arizona Mirror behoudt redactionele onafhankelijkheid. Neem voor vragen contact op met Redacteur Jim Small: info@azmirror.com.
Source link
