보안 연구자 Luis Miranda Acebedo가 스페인 Netun Solutions 제조, Vodafone 판매의 Help Flash IoT V16 비콘에 대한 보안 조사 결과를 2025년 12월 공개했다. V16 비콘은 차량 고장이나 사고 시 지붕에 설치하여 360도 발광 신호를 내보내고, 내장 eSIM과 IoT 연결을 통해 차량의 정확한 위치를 스페인 교통관리 플랫폼(DGT 3.0)에 자동 전송하는 장치다.

조사 결과 두 가지 심각한 취약점 군이 확인되었다. 첫째, 모바일 통신이 평문으로 전송되어 강력한 인증이나 무결성 보호 없이 이루어지고 있었다. 이로 인해 위치 추적, 장치 사칭, 전송 중 데이터 변조가 가능하다. 둘째, 전원 버튼을 8초 누르면 활성화되는 비밀 OTA 업데이트 시스템이 존재하며, 모든 펌웨어에 공유된 WiFi 자격증명을 사용하고, HTTP(비암호화)로 다운로드하며, 서버 검증이나 펌웨어 서명이 없어 1분 이내에 해킹이 가능했다.

스페인에서 이미 25만 대 이상 판매된 이 장치는 2026년 1월 1일부터 기존 삼각대를 대체하는 유일한 공인 신호 장치로 의무화된다. 허위 긴급 알림 생성, 실제 사고 은폐, DGT 3.0 시스템 무결성 훼손 등의 위험이 있다. 연구자는 INCIBE(스페인 국가사이버보안기관)에 보고했으나, "물리적 접근이 필요하다"는 이유로 CVE 부여가 거부되어 MITRE에 직접 제출한 상태다.