旧金山雄心勃勃的计划推出电脑智能停车计时器遇到了一个障碍:他们可以被黑客入侵免费停车。
根据Grand Idea Studio的所有者Joe Grand的说法,旧金山的停车收费表无法说明真正的支付卡和假货之间的区别。这些卡可用于在全市范围内支付23,000米。
[进一步阅读:如何从您的Windows PC中删除恶意软件]没有在智能卡上工作太多的格兰特说,这项工作并不是特别的难做。他的卡只是将真正的卡使用的相同信号重放到仪表。虽然他从来没有真正使用这张卡获得免费停车,但Grand表示他能够制作一张余额为
.99美元的卡 - 尽可能最大 - 永远不会耗尽资金。
“如果我发现这个问题,其他人可能知道这个问题,并可能利用它,“他说。 “为了弄清楚支付系统是如何工作的,格兰特把示波器连接到了停车计时器,并监视了他使用真正的支付卡时发生的情况。然后他亲自分析了这些数据,并编写了一个模拟智能卡的软件程序。经过一些试验和错误之后,他终于弄清楚他的计划需要对仪表说些什么才能工作。然后他建立了一张卡片,使用名为Silver Card的可编程智能卡重放相同的数据。
旧金山使用McKay Guardian XLE仪表,Grand表示,但由于这些仪表在不同城市的实施方式不同,他的技术可能会不在旧金山以外的地方工作。
美国各城市正在推出计算机化停车收费表系统,以便于付款和管理。旧金山的智能电表作为更广泛的计划的一部分推出,称为SFpark,最终将部署停车传感器,以检测何时空间不足,并将该信息无线传输给驾驶员寻找位置。
但是,一些问题。 5月份,芝加哥大约有125台智能电表停止正常工作,这引发了人们对机器可能遭到黑客攻击的猜测。
市政府官员将此失败归因于计算机故障,格兰德说该市的解释听起来很正确。 “我个人认为,失败是一个固件问题,是系统中的一个缺陷,”他说,“因为他们从来没有看过停车计时器,所以格兰和他的两位合作研究人员Jacob Appelbaum和Chris Tarnovsky也花了一些时间把他们在eBay上收到的停车计时器和支付卡拆下来了解他们的工作方式。他们将在周四在拉斯维加斯举行的黑帽安全会议上展示他们的发现。
然而,他们并不打算提供关于他们如何制作假卡的完整技术细节,因为这些信息可能会被误用于欺诈旧金山。
他们说,如果旧金山希望避免其系统上的欺诈行为,它应该考虑通过开发一种更好的方式来验证智能卡来确保仪表的安全。这可能涉及使仪表更加智能化,以便他们可以相互沟通并在每次交易过程中处理数字签名。
“硬件设备不应该被信任,他们需要在部署之前进行分析,”Grand说。 。 “这些设备不安全。”