車牌讀取器正在洩漏實時視頻饋送和車輛數據

今天早上，在短短20分鐘內，美國田納西州納什維爾市的一個自動車牌識別系統（ALPR）拍攝了近1,000輛車的照片和詳細信息，這些車輛在系統前經過。其中包括：八輛黑色吉普牧馬人、六輛本田雅閣、一輛救護車和一輛帶有個性化車牌的黃色福特嘉年華。

這些由摩托羅拉（Motorola）ALPR系統收集的實時車輛數據，原本是供執法部門使用的。然而，一位安全研究員發現了一個漏洞，暴露了實時視頻流和過往車輛的詳細記錄，揭示了這項廣泛技術所能實現的驚人監控規模。

根據安全研究員馬特·布朗（Matt Brown）的說法，最近幾個月來，超過150台摩托羅拉ALPR攝影機暴露了它們的視頻流和洩漏的數據。布朗在eBay上購買了一台ALPR攝影機並進行了逆向工程後，首次在一系列YouTube視頻中公開了這些問題。

這些錯誤配置的攝影機不僅向互聯網上的任何人廣播實時畫面，還暴露了它們收集的數據，包括汽車照片和車牌記錄。實時視頻和數據流不需要任何用戶名或密碼即可訪問。

WIRED與其他技術專家一起審查了幾個攝影機的視頻流，確認車輛數據——包括汽車的品牌、型號和顏色——被意外暴露。摩托羅拉向WIRED確認了這些暴露，並表示正在與其客戶合作以關閉這些訪問。

在過去的十年中，數以千計的ALPR攝影機出現在美國各地的城鎮和城市。這些由摩托羅拉和Flock Safety等公司製造的攝影機會在檢測到汽車經過時自動拍照。警方經常使用這些攝影機和收集的數據庫來搜尋嫌疑犯。ALPR攝影機可以安裝在道路旁、警車儀表板上，甚至卡車上。這些攝影機拍攝了數十億張汽車照片——有時還包括保險杠貼紙、草坪標誌和T恤。

布朗告訴WIRED，“我發現的每一個暴露的攝影機都位於某條道路上的固定位置。”暴露的視頻流每個都覆蓋一條車道，汽車在攝影機的視野中駛過。在一些流中，雪正在飄落。布朗發現每個暴露的攝影機系統都有兩個流，一個是彩色的，另一個是紅外線的。

通常，當汽車經過ALPR攝影機時，系統會拍攝車輛的照片，並使用機器學習從車牌中提取文字。這些信息會與拍攝地點、時間以及汽車的品牌和型號等元數據一起儲存。

布朗表示，攝影機的視頻流和車輛數據可能是因為沒有設置在私人網絡上而暴露的，可能是由部署它們的執法機構所為，而是暴露在互聯網上，沒有任何身份驗證。“這是錯誤配置的。它不應該在公共互聯網上開放，”他說。

WIRED通過分析顯然與摩托羅拉攝影機相關的37個不同IP地址的數據流測試了這個漏洞，這些地址遍布美國十多個城市，從內布拉斯加州奧馬哈到紐約市。在短短20分鐘內，這些攝影機記錄了近4,000輛車的品牌、型號、顏色和車牌。有些車輛甚至被多次捕捉——在某些情況下多達三次——因為它們經過不同的攝影機。