信息來源:Freebuf
近日,一份來自英國消費者協(xié)會雜志《Which?》調(diào)查報告發(fā)現(xiàn),福特和大眾的兩款暢銷車存在嚴(yán)重安全漏洞,黑客可利用該漏洞發(fā)動攻擊,竊取車主的個人隱私信息,甚至是操控車輛,對車主的信息安全和生命安全產(chǎn)生極大的威脅。
《Which?》雜志聯(lián)合網(wǎng)絡(luò)安全公司Context Information Security開展調(diào)查,全方位檢查了大眾Polo SEL TSI手動1.0L和福特??怂光佔詣?.0L兩款汽油型聯(lián)網(wǎng)汽車,這兩款汽車目前是歐洲市場最受歡迎的兩款車型。
然而,盡管這兩款車型得到了許多人的喜愛,而其安全測試卻是讓人大跌眼鏡。據(jù)《Which?》的測試結(jié)果顯示,安全研究人員能夠進(jìn)入大眾的Polo汽車的信息娛樂系統(tǒng),這個系統(tǒng)可以說是汽車“中樞神經(jīng)系統(tǒng)”的一部分,因為它會影響到汽車的牽引力控制(一項輔助車主操控汽車的功能)。此外,信息娛樂系統(tǒng)中還存儲著用戶的個人敏感信息,比如電話、地理位置記錄等。
不僅如此,人員還發(fā)現(xiàn)只要抬起汽車前部的大眾徽章就能進(jìn)入前雷達(dá)模塊,黑客可通過這一動作進(jìn)一步篡改車輛碰撞預(yù)警系統(tǒng)。
反觀另一方福特的??怂箿y試結(jié)果,情況似乎也不容樂觀。安全研究人員使用最為常規(guī)的工具就可以攔截其輪胎壓力監(jiān)控系統(tǒng)的信息,所以攻擊者可以利用這個漏洞發(fā)送虛假信息,即使輪胎沒氣仍顯示充氣正常,從而產(chǎn)生風(fēng)險。
當(dāng)專家檢查福特的系統(tǒng)代碼時,他們還驚奇地發(fā)現(xiàn)福特生產(chǎn)線的計算機系統(tǒng)wifi和密碼細(xì)節(jié),經(jīng)掃描確認(rèn)是福特位于密歇根州底特律的裝配廠。
數(shù)據(jù)安全“漏洞”
除了測試汽車本身的系統(tǒng)安全,此次調(diào)查人員還對聯(lián)網(wǎng)汽車會產(chǎn)生多少車主的個人數(shù)據(jù)提出了質(zhì)疑,以及這些數(shù)據(jù)的存儲、分享和使用是否都存在問題。
福特的Pass應(yīng)用程序可以隨時分享汽車的地理位置和行駛方向,以及汽車傳感器(警示燈、液位、耗油量等)的一些數(shù)據(jù)。APP甚至可以跟蹤“駕駛特性”,例如速度、加速度、制動和轉(zhuǎn)向。
其隱私政策規(guī)定,它可以與“授權(quán)經(jīng)銷商和我們的分支機構(gòu)”共享這些信息。
福特Pass隱私條款
另外,大眾的應(yīng)用程序We Connect也發(fā)現(xiàn)其會向用戶索要大量的權(quán)限,包括訪問用戶日歷中的“私密信息”和USB存儲設(shè)備的內(nèi)容。其隱私權(quán)限政策規(guī)定中,這樣寫到:
大眾在您使用該應(yīng)用程序時會收集數(shù)據(jù),但僅在“出于履行合同義務(wù)的必要”時才與第三方共享數(shù)據(jù)。
在《Which?》將這些問題報告給兩家汽車廠商后,福特拒接這份技術(shù)報告,并回應(yīng)有持續(xù)跟進(jìn)網(wǎng)絡(luò)安全的工作并減小其中的風(fēng)險,客戶數(shù)據(jù)也是用在有價值的連接設(shè)備之中。而大眾則是積極參與并回應(yīng)調(diào)查,雖然表示報告呈現(xiàn)的結(jié)果不會對用戶有任何風(fēng)險,但愿意和供應(yīng)商共享這份報告。
在此,該報告還為用戶提供了幾個小建議來規(guī)避聯(lián)網(wǎng)汽車的安全風(fēng)險:
1、撤銷訪問權(quán)限,從手機中刪除訪問權(quán)限,斷開和汽車的連接;
2、車輛轉(zhuǎn)手時清除自己的數(shù)據(jù),進(jìn)入汽車的信息娛樂系統(tǒng),查看并清除賬戶信息;
3、買二手車時注意以往數(shù)據(jù)的清除,這樣就不用擔(dān)心之前的車主可以跟蹤和解鎖汽車。
車聯(lián)網(wǎng)時代的附加風(fēng)險
在報告中披露的嚴(yán)重漏洞會對用戶財產(chǎn)和生命安全造成重大威脅。雖然這次只測試了這兩款車型,但是這類問題卻是“行業(yè)毒瘤”。盡管有嚴(yán)格的汽車碰撞安全和尾氣排放法規(guī)標(biāo)準(zhǔn),但是對于車內(nèi)運行的重要計算機系統(tǒng)卻沒有同樣嚴(yán)格的審查。事實上,在汽車網(wǎng)絡(luò)安全方面,沒有統(tǒng)一的強制性標(biāo)準(zhǔn),汽車制造商可以選擇忽略這些網(wǎng)絡(luò)安全問題。
《Which?》雜志主編Lisa Barber認(rèn)為:
現(xiàn)在,大多數(shù)汽車都包含功能強大的計算機系統(tǒng),但是對這些系統(tǒng)的監(jiān)管缺乏明顯意義,這意味著它們可能會受到黑客的攻擊,從而使駕駛員的安全和個人數(shù)據(jù)面臨風(fēng)險。政府應(yīng)該努力確保在汽車設(shè)計中內(nèi)置一定的安全性,并禁止制造商在技術(shù)安全性上閉門造車,從而生產(chǎn)出存在嚴(yán)重缺陷的系統(tǒng)。
福特、大眾的漏洞事件誠然不是第一次發(fā)生,早期的奔馳漏洞和寶馬、豐田遭受的APT攻擊等都已經(jīng)嘗到網(wǎng)絡(luò)安全的“苦果”。在萬物互聯(lián)時代,車輛的智能聯(lián)網(wǎng)只是其中的一個微小的、具體的場景。聯(lián)網(wǎng)設(shè)備帶來的便捷讓人們的生活有了更多的可能性,但是網(wǎng)絡(luò)層的風(fēng)險同樣也會引入到設(shè)備中。“聯(lián)網(wǎng)”一詞不僅僅代表的是技術(shù)的更新和進(jìn)步,更是意味著人們可能面臨的附加風(fēng)險。
如前所述,在聯(lián)網(wǎng)產(chǎn)品的設(shè)計之初,安全因素就應(yīng)該被考慮進(jìn)去,產(chǎn)品本身的技術(shù)再先進(jìn),沒有安全性保駕護(hù)航,也是枉然。而政府在這個過程中,往往是起到監(jiān)管的作用,真正地去督促各廠商重視網(wǎng)絡(luò)安全、加強網(wǎng)絡(luò)安全,從某種程度上來說,政府發(fā)揮的作用也是應(yīng)對網(wǎng)絡(luò)安全風(fēng)險的一個重要因素。