Slimme parkeertoepassingen blijken gevaar voor privacy

smart parking

De apps van 4411 en Indigo blijken de privacy van gebruikers onvoldoende te beschermen. Een beveiligingsonderzoeker kon zo de locatie van 120 mensen verrassend accuraat opvolgen.

Slimme parkeertoepassingen bieden onvoldoende bescherming voor de privacy van gebruikers. Dat ontdekte de Belgische beveiligingsonderzoeker Inti De Ceukelaire na een experiment waarin hij honderd dagen lang 120 auto’s probeerde te traceren. Voor 29 procent van de wagens bleek dat niet al te moeilijk.

Indigo

De Ceukelaire richtte zich op twee toepassingen: de app 4411 en die parkeertoepassing van Indigo, dat parkeergarages uitbaat. Bij Indigo kon De Ceukelaire een professioneel account aanmaken en daar de nummerplaten van de 120 wagens aan toevoegen. Telkens één van die voertuigen in een parkeergarage van Indigo binnenreed, kreeg hij een melding. De Ceukelaire moest op geen enkel moment aantonen dat hij eigenaar was van de wagens in kwestie.

De keerzijde van die aanpak is wel dat de persoon die iemand wil vinden, ook de parkeersessies moet betalen. “Met een gemiddelde van 8,25 euro per succesvol getraceerd voertuig is dat tientallen keren goedkoper dan een pivédetectieve”, zegt De Ceukelaire daarover aan VRT.

4411

Vervolgens kon De Ceukelaire zomaar aan data van 4411. Dat deed hij door via een zelf ontwikkelde toepassing honderden gratis parkeersessies aan het achterliggende systeem te vragen. Die sessies zijn gelimiteerd tot vijftien minuten. Als De Ceukelaire een weigering kreeg van 4411, dan wist hij dat een wagen in kwestie op een gegeven dat zeker op een bepaalde plek was geweest.

Het is opvallend dat iemand zomaar naar believen nummerplaten kan toevoegen aan de app van Indigo, en dat 4411 zo’n ongecontroleerde toegang tot zijn systeem mogelijk maakt. De risico’s voor de privacy zijn reëel. Iemand met kwade bedoelingen kan immers controleren wanneer een doelwit van huis is, bijvoorbeeld om in te breken.

Realistisch misbruik

Andersom kan bijvoorbeeld een stalker voor de prijs van een parkeerticketje een melding krijgen wanneer zijn doelwit in een bepaalde parkeergarage binnenrijdt. Omdat parkeersessies vaak even duren, is er misschien voldoende tijd om naar die garage af te zakken.

Voor bredere toepassingen kan een hacker de gegevens gebruiken om op langere termijn parkeersessies te onderzoeken. Waar je je wagen plaatst, vertelt immers veel over jezelf. Ga je bijvoorbeeld naar een ziekenhuis? Of een bepaald kantoor? Of lonkt het casino?

Europees probleem

De Ceukelaire pleit ervoor om het probleem Europees aan te pakken, aangezien parkeerbedrijven vaak internationaal actief zijn. Zo kon hij één wagen tot in Spanje traceren. Europa moet volgens hem de bedrijven aanmanen om hun privacysystemen tot een behoorlijk veiligheidsniveau te ontwikkelen.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.