חוקר אבטחה סקרן שקנה קורא לוחיות רישוי אוטומטי של מוטורולה הצליח לגלות ליקוי אבטחה מדאיג שמשפיע על מאות מצלמות ALPR חיות ברחבי הארץ. מאט בראון, המנהל את Brown Fine Security, רכש מצלמת מעקב של Motorola ReaperHD ALPR לקורא לוחיות רישוי מ-eBay ומהר מאוד גילה שרבות מאותן מצלמות חיות מוגדרות בצורה שגויה להזרים צבע, אינפרא אדום שחור-לבן ונתוני רכב כולל לוחית רישוי מספרים לאינטרנט הפתוח, שם כל אחד יכול לגשת אליהם בזמן אמת ללא שם משתמש או סיסמה.
בראון, שהכין סדרה של סרטוני יוטיוב המדגימים את כלי ההוכחה שלו שחושף את הפגיעויות הללו, בתחילה רק עיצב את המצלמה שלו לאחור כדי לחלץ את הקושחה של המכשיר כאשר מצא זרמי וידאו במכשיר. לאחר מכן הוא יצא לבדוק אם אחד מהמכשירים בעולם האמיתי היה זמין באינטרנט, והצליח להשתמש בטקסט מדף שגיאה 404 כדי למצוא את כתובות ה-IP של המכשירים החשופים באינטרנט הציבורי. יותר מ-150 מכשירים מופיעים בעת שימוש בכלי סריקה באינטרנט זמין לציבור.
מצלמות ALPR מוצבות לרוב לאורך כבישים, על לוח המחוונים של ניידות משטרה או אפילו בתוך משאיות על מנת לצלם תמונות אוטומטית כשהן מזהות מכונית חולפת. המערכת משתמשת בלמידת מכונה כדי לחלץ טקסט מלוחית הרישוי, אשר מאוחסנת לצד פרטים כמו היכן צולמה התמונה, כמו גם השעה, המותג, הדגם והצבע של הרכב. הסרטונים ומאגרי הנתונים של הנתונים שנאספו משמשים אז לעתים קרובות על ידי המשטרה לחיפוש אחר חשודים.
מוטורולה הגיבה באישור החשיפות ודובר אמר לכלי תקשורת שהיא עובדת עם הלקוחות המושפעים כדי לסגור את הגישה הפתוחה. דובר מסביר: "מצלמת ReaperHD היא מכשיר מדור קודם, שמכירותיו הופסקו ביוני 2022. ממצאים בסרטוני YouTube האחרונים אינם מהווים סיכון ללקוחות המשתמשים במכשיריהם בהתאם לתצורות המומלצות שלנו. חלק מתצורת רשת ששונתה על ידי הלקוח, עשויה לחשוף כתובות IP מסוימות. אנו עובדים ישירות עם לקוחות אלה כדי לשחזר את תצורות המערכת שלהם בהתאם להמלצות ולשיטות המומלצות שלנו בתעשייה. עדכון הקושחה הבא שלנו יציג הקשחת אבטחה נוספת."
עם זאת, זה לא המקרה הראשון של הפרה מסוג זה: קהילה בשם DeFlock, שהיא מפת קוד פתוח של ALPRs בארצות הברית, מצאה גם כ-170 ALPR לא מוצפנים. מייסד הקהילה אפילו בנה סקריפט שיכול לקחת את הנתונים, לפענח אותם, להוסיף מידע עם חותמת זמן ולהשליך אותו לגיליון אלקטרוני כדי לעקוב אחר תנועות המכונית הספציפית.
בשנת 2015 הקרן האלקטרונית פרונטיר וחוקרים מאוניברסיטת אריזונה מצאו מאות זרמי ALPR חשופים, ובשנת 2019 פריצה של ספק ALPR במשרד לביטחון המולדת הובילה ללוחיות הרישוי של תמונות של מטיילים שהועמדו למכירה בחושך אינטרנט.
בראון, חוקר האבטחה, אומר שלמרות שלא כל מכשירי ה-ALPR של מוטורולה מדליפים נתונים או זורמים לאינטרנט הפתוח, ליקוי האבטחה עדיין מדאיג ולא משהו שעומד לתקן בן לילה. "עדיין יש לך מכשיר סופר פגיע שאם אתה מקבל גישה לרשת שלהם אתה יכול לראות את הנתונים. כשאתה פורס את הטכנולוגיה לשטח, ההתקפות תמיד נעשות קלות יותר, הן לא נעשות קשות יותר".
הירשם כדי לקבל את המדריך הטוב ביותר של טום ישירות לתיבת הדואר הנכנס שלך.
קבל גישה מיידית לחדשות מרעננות, לביקורות החמות ביותר, למבצעים מעולים וטיפים מועילים.