Een hacker heeft een manier ontdekt om de locatie van kentekens te achterhalen via parkeerapps. Inti de Ceukelaire ontdekte dat hij nummerplaten van anderen kon toevoegen aan die apps. Hij bouwde een tooltje dat pushmeldingen stuurt als dat kenteken door een camera werd gescand.
Inti de Ceukelaire riep de afgelopen weken de hulp in van 120 vrijwilligers die ermee akkoord gingen hun kenteken te laten volgen. Het lukte hem om van bijna een derde daarvan de locatie te achterhalen. Dat lukte via parkeerapplicaties zoals 4411 en Indigo Neo, die vooral in Vlaanderen en Wallonië populair zijn. 4411 werkt ook in Nederland. In die apps is het mogelijk automatische betalingen te doen op basis van een kenteken. Gebruikers voeren hun kenteken in en koppelen daar hun bankrekeningnummer aan. Als ze een garage inrijden met nummerplaatherkenning, wordt er automatisch afgerekend, schrijft hij op een voor het project opgerichte website.
De Ceukelaire zag dat die apps niet verifiëren of een kenteken aan iemand toebehoort. Daardoor is het mogelijk ieder kenteken in de apps in te voeren. Als een auto-eigenaar daarna parkeert, kan hij dat terugzien in de app. De Ceukelaire zegt dat hij van 26,5 procent van de deelnemers binnen honderd dagen hun locaties kon achterhalen. In Nederland en België lukte dat met de parkeerapps van EasyPark, Q-Park, Indigo Neo, Interparking en APCOA.
Een aanvaller parkeert in dat geval wel op naam en kenteken van het slachtoffer. Dat betekent dat hij ook betaalt voor de parkeersessie. De Ceukelaire zegt hij in totaal 273,85 euro uitgaf aan parkeertickets. Een gemiddelde aanval kostte daarmee 7,82 euro.
/i/2005372096.png?f=imagemedium)
De Ceukelaire ontdekte daarnaast een tweede methode om ook parkeersessies te onderscheppen op de openbare weg. Dat gebeurde bij parkeerplaatsen langs de weg waar automobilisten een beperkte tijd gratis mogen parkeren op basis van hun kenteken. Dat wordt niet via ANPR-camera's doorgegeven, maar door de autorijder zelf via een parkeermeter langs de straat. Dat kan vaak maximaal een of een beperkt aantal keren per dag. De Ceukelaire bouwde een tool die bij parkeerapp 4411 probeerde een bepaald kenteken ergens aan te melden voor die ene keer gratis parkeren. Als zo'n sessie die dag al eens was ingezet, ontstond er een foutmelding. Op basis daarvan kan een hacker met terugwerkende kracht achterhalen waar iemand heeft geparkeerd.
Volgens De Ceukelaire zijn er in West-Europa ruim 4000 locaties waar mogelijk wordt gescand op kenteken. De ethisch hacker, waar Tweakers eerder dit jaar een interview mee hield, zegt dat parkeerapps 'een onschatbare bron van informatie prijsgeven over bestuurders'. "Aan de hand van de parkeerduur, locatie en tijd kan je afleiden wat de persoon daar komt doen", schrijft hij. "Zo zijn er tijdens het onderzoek personen gelokaliseerd nabij kantoorruimten, winkelcentra, concertzalen, sportcomplexen, casino’s en ziekenhuizen. Hoe meer momentopnames het systeem kan onderscheppen, hoe groter de kans om te achterhalen wie de bestuurder is."
0 件のコメント:
コメントを投稿