Способность приложения Q-Park бесконтактно оплачивать парковку по номерному знаку автомобиля, может использоваться для слежки за людьми. Это обнаружил бельгийский хакер, который также обнаружил такую же проблему и у других приложений парковочных компаний.
Схема очень проста в использовании; когда люди добавляют номерной знак в свое приложение Q-Park, им не нужно подтверждать что этот номер принадлежит именно им. Если в приложение добавлен чужой номерной знак, вы можете видеть, где припаркован автомобиль владельца номерного знака.
Q-Park парирует, что люди легко могут заметить, если их номерной знак связан с чьей-либо учетной записью.
«Когда шлагбаум откроется, а списаний со счета не произойдет». Кроме того, номерной знак можно одновременно связать только с одной учетной записью. «Если пользователи заметят это, они могут обратиться в службу поддержки».
Однако люди могут подумать, что это неисправность, если шлагбаум открывается без оплаты, — говорит хакер Инти Де Сеуклер. — Кроме того, к тому времени будет слишком поздно, потому что ваше местонахождение уже стало известно заинтересованному лицу.
Эта схема также работает при использовании приложения Easy Park для парковки в гараже.
«120 добровольцев зарегистрировались для тестирования проблемы, и в 29 процентах случаев мне удалось узнать их местонахождение», — говорит Де Секелер. «Могло быть и больше, но мне стало скучно и надо было остановиться».
Проблема не ограничивается парковками и гаражами. На платных дорогах с распознаванием номеров во Франции, Швеции, Норвегии и Ирландии пользователей тоже можно отследить.
Источник: nos.nl