行業(yè)動態(tài)

福特、大眾暢銷車曝安全漏洞,黑客可竊取隱私、操控車輛
來源:聚銘網絡    發(fā)布時間:2020-04-17    瀏覽次數(shù):
 

信息來源:Freebuf


近日,一份來自英國消費者協(xié)會雜志《Which?》調查報告發(fā)現(xiàn),福特和大眾的兩款暢銷車存在嚴重安全漏洞,黑客可利用該漏洞發(fā)動攻擊,竊取車主的個人隱私信息,甚至是操控車輛,對車主的信息安全和生命安全產生極大的威脅。

《Which?》雜志聯(lián)合網絡安全公司Context Information Security開展調查,全方位檢查了大眾Polo SEL TSI手動1.0L和福特福克斯鈦自動1.0L兩款汽油型聯(lián)網汽車,這兩款汽車目前是歐洲市場最受歡迎的兩款車型。

然而,盡管這兩款車型得到了許多人的喜愛,而其安全測試卻是讓人大跌眼鏡。據(jù)《Which?》的測試結果顯示,安全研究人員能夠進入大眾的Polo汽車的信息娛樂系統(tǒng),這個系統(tǒng)可以說是汽車“中樞神經系統(tǒng)”的一部分,因為它會影響到汽車的牽引力控制(一項輔助車主操控汽車的功能)。此外,信息娛樂系統(tǒng)中還存儲著用戶的個人敏感信息,比如電話、地理位置記錄等。

不僅如此,人員還發(fā)現(xiàn)只要抬起汽車前部的大眾徽章就能進入前雷達模塊,黑客可通過這一動作進一步篡改車輛碰撞預警系統(tǒng)。

反觀另一方福特的福克斯測試結果,情況似乎也不容樂觀。安全研究人員使用最為常規(guī)的工具就可以攔截其輪胎壓力監(jiān)控系統(tǒng)的信息,所以攻擊者可以利用這個漏洞發(fā)送虛假信息,即使輪胎沒氣仍顯示充氣正常,從而產生風險。

當專家檢查福特的系統(tǒng)代碼時,他們還驚奇地發(fā)現(xiàn)福特生產線的計算機系統(tǒng)wifi和密碼細節(jié),經掃描確認是福特位于密歇根州底特律的裝配廠。

數(shù)據(jù)安全“漏洞”

除了測試汽車本身的系統(tǒng)安全,此次調查人員還對聯(lián)網汽車會產生多少車主的個人數(shù)據(jù)提出了質疑,以及這些數(shù)據(jù)的存儲、分享和使用是否都存在問題。

福特的Pass應用程序可以隨時分享汽車的地理位置和行駛方向,以及汽車傳感器(警示燈、液位、耗油量等)的一些數(shù)據(jù)。APP甚至可以跟蹤“駕駛特性”,例如速度、加速度、制動和轉向。

其隱私政策規(guī)定,它可以與“授權經銷商和我們的分支機構”共享這些信息。

福特Pass隱私條款

另外,大眾的應用程序We Connect也發(fā)現(xiàn)其會向用戶索要大量的權限,包括訪問用戶日歷中的“私密信息”和USB存儲設備的內容。其隱私權限政策規(guī)定中,這樣寫到:

大眾在您使用該應用程序時會收集數(shù)據(jù),但僅在“出于履行合同義務的必要”時才與第三方共享數(shù)據(jù)。

在《Which?》將這些問題報告給兩家汽車廠商后,福特拒接這份技術報告,并回應有持續(xù)跟進網絡安全的工作并減小其中的風險,客戶數(shù)據(jù)也是用在有價值的連接設備之中。而大眾則是積極參與并回應調查,雖然表示報告呈現(xiàn)的結果不會對用戶有任何風險,但愿意和供應商共享這份報告。

在此,該報告還為用戶提供了幾個小建議來規(guī)避聯(lián)網汽車的安全風險:

1、撤銷訪問權限,從手機中刪除訪問權限,斷開和汽車的連接;

2、車輛轉手時清除自己的數(shù)據(jù),進入汽車的信息娛樂系統(tǒng),查看并清除賬戶信息;

3、買二手車時注意以往數(shù)據(jù)的清除,這樣就不用擔心之前的車主可以跟蹤和解鎖汽車。

車聯(lián)網時代的附加風險

在報告中披露的嚴重漏洞會對用戶財產和生命安全造成重大威脅。雖然這次只測試了這兩款車型,但是這類問題卻是“行業(yè)毒瘤”。盡管有嚴格的汽車碰撞安全和尾氣排放法規(guī)標準,但是對于車內運行的重要計算機系統(tǒng)卻沒有同樣嚴格的審查。事實上,在汽車網絡安全方面,沒有統(tǒng)一的強制性標準,汽車制造商可以選擇忽略這些網絡安全問題。

《Which?》雜志主編Lisa Barber認為:

現(xiàn)在,大多數(shù)汽車都包含功能強大的計算機系統(tǒng),但是對這些系統(tǒng)的監(jiān)管缺乏明顯意義,這意味著它們可能會受到黑客的攻擊,從而使駕駛員的安全和個人數(shù)據(jù)面臨風險。政府應該努力確保在汽車設計中內置一定的安全性,并禁止制造商在技術安全性上閉門造車,從而生產出存在嚴重缺陷的系統(tǒng)。

福特、大眾的漏洞事件誠然不是第一次發(fā)生,早期的奔馳漏洞和寶馬、豐田遭受的APT攻擊等都已經嘗到網絡安全的“苦果”。在萬物互聯(lián)時代,車輛的智能聯(lián)網只是其中的一個微小的、具體的場景。聯(lián)網設備帶來的便捷讓人們的生活有了更多的可能性,但是網絡層的風險同樣也會引入到設備中?!奥?lián)網”一詞不僅僅代表的是技術的更新和進步,更是意味著人們可能面臨的附加風險。

如前所述,在聯(lián)網產品的設計之初,安全因素就應該被考慮進去,產品本身的技術再先進,沒有安全性保駕護航,也是枉然。而政府在這個過程中,往往是起到監(jiān)管的作用,真正地去督促各廠商重視網絡安全、加強網絡安全,從某種程度上來說,政府發(fā)揮的作用也是應對網絡安全風險的一個重要因素。


 
 

上一篇:仿效ATT&CK,微軟發(fā)布云安全攻擊矩陣

下一篇:2020年04月17日 聚銘安全速遞