福特、大众畅销车曝安全漏洞,黑客可窃取隐私、操控车辆
近日,一份来自英国消费者协会杂志《Which?》调查报告发现,福特和大众的两款畅销车存在严重安全漏洞,黑客可利用该漏洞发动攻击,窃取车主的个人隐私信息,甚至是操控车辆,对车主的信息安全和生命安全产生极大的威胁。
《Which?》杂志联合网络安全公司Context Information Security开展调查,全方位检查了大众Polo SEL TSI手动1.0L和福特福克斯钛自动1.0L两款汽油型联网汽车,这两款汽车目前是欧洲市场最受欢迎的两款车型。
然而,尽管这两款车型得到了许多人的喜爱,而其安全测试却是让人大跌眼镜。据《Which?》的测试结果显示,安全研究人员能够进入大众的Polo汽车的信息娱乐系统,这个系统可以说是汽车“中枢神经系统”的一部分,因为它会影响到汽车的牵引力控制(一项辅助车主操控汽车的功能)。此外,信息娱乐系统中还存储着用户的个人敏感信息,比如电话、地理位置记录等。
不仅如此,人员还发现只要抬起汽车前部的大众徽章就能进入前雷达模块,黑客可通过这一动作进一步篡改车辆碰撞预警系统。
反观另一方福特的福克斯测试结果,情况似乎也不容乐观。安全研究人员使用最为常规的工具就可以拦截其轮胎压力监控系统的信息,所以攻击者可以利用这个漏洞发送虚假信息,即使轮胎没气仍显示充气正常,从而产生风险。
当专家检查福特的系统代码时,他们还惊奇地发现福特生产线的计算机系统wifi和密码细节,经扫描确认是福特位于密歇根州底特律的装配厂。
数据安全“漏洞”
除了测试汽车本身的系统安全,此次调查人员还对联网汽车会产生多少车主的个人数据提出了质疑,以及这些数据的存储、分享和使用是否都存在问题。
福特的Pass应用程序可以随时分享汽车的地理位置和行驶方向,以及汽车传感器(警示灯、液位、耗油量等)的一些数据。APP甚至可以跟踪“驾驶特性”,例如速度、加速度、制动和转向。
其隐私政策规定,它可以与“授权经销商和我们的分支机构”共享这些信息。
福特Pass隐私条款
另外,大众的应用程序We Connect也发现其会向用户索要大量的权限,包括访问用户日历中的“私密信息”和USB存储设备的内容。其隐私权限政策规定中,这样写到:
大众在您使用该应用程序时会收集数据,但仅在“出于履行合同义务的必要”时才与第三方共享数据。
在《Which?》将这些问题报告给两家汽车厂商后,福特拒接这份技术报告,并回应有持续跟进网络安全的工作并减小其中的风险,客户数据也是用在有价值的连接设备之中。而大众则是积极参与并回应调查,虽然表示报告呈现的结果不会对用户有任何风险,但愿意和供应商共享这份报告。
在此,该报告还为用户提供了几个小建议来规避联网汽车的安全风险:
- 撤销访问权限,从手机中删除访问权限,断开和汽车的连接;
- 车辆转手时清除自己的数据,进入汽车的信息娱乐系统,查看并清除账户信息;
- 买二手车时注意以往数据的清除,这样就不用担心之前的车主可以跟踪和解锁汽车。
车联网时代的附加风险
在报告中披露的严重漏洞会对用户财产和生命安全造成重大威胁。虽然这次只测试了这两款车型,但是这类问题却是“行业毒瘤”。尽管有严格的汽车碰撞安全和尾气排放法规标准,但是对于车内运行的重要计算机系统却没有同样严格的审查。事实上,在汽车网络安全方面,没有统一的强制性标准,汽车制造商可以选择忽略这些网络安全问题。
《Which?》杂志主编Lisa Barber认为:
现在,大多数汽车都包含功能强大的计算机系统,但是对这些系统的监管缺乏明显意义,这意味着它们可能会受到黑客的攻击,从而使驾驶员的安全和个人数据面临风险。政府应该努力确保在汽车设计中内置一定的安全性,并禁止制造商在技术安全性上闭门造车,从而生产出存在严重缺陷的系统。 |
福特、大众的漏洞事件诚然不是第一次发生,早期的奔驰漏洞和宝马、丰田遭受的APT攻击等都已经尝到网络安全的“苦果”。在万物互联时代,车辆的智能联网只是其中的一个微小的、具体的场景。联网设备带来的便捷让人们的生活有了更多的可能性,但是网络层的风险同样也会引入到设备中。“联网”一词不仅仅代表的是技术的更新和进步,更是意味着人们可能面临的附加风险。
如前所述,在联网产品的设计之初,安全因素就应该被考虑进去,产品本身的技术再先进,没有安全性保驾护航,也是枉然。而政府在这个过程中,往往是起到监管的作用,真正地去督促各厂商重视网络安全、加强网络安全,从某种程度上来说,政府发挥的作用也是应对网络安全风险的一个重要因素。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
伊组织对美发起新一轮攻击
研究人员近期发现了APT34利用新工具集进行的网络活动。根据此次发现的网络钓鱼文件,伊朗黑客组织将美国Westat员工或Westat提供服务的组织作为攻击目标。Westat是一家美国公司,为美国政府机构以及企业,基金会以及州和地方政府提供研究服务。 APT34背景 APT34(也称为OilRig或Helix Kitten)是由伊朗政府支持的网络间谍组织,自2014年以来一直活跃。该组织的目标多为国际组织,主要集中在中东地区。他们的目标行业包括政府机构,金融服务,能源和公共服务,电信以及石油和天然气。2019年4月,该组织信息被揭露,包括受害者数据,黑客工具源代码和APT34操作的数据(Web Shell和域信息)。 最近,FireEye揭露了APT34进行的鱼叉式网络钓鱼攻击,两次活动所使用的技术和工具相似,够确定此次针对Westat的攻击也是同一个组织所为。 初始攻击 在2020年1月下旬发现了名为survey.xls的文件,该文件看起来像是针对Westat员工或Westat客户量身定制的员工满意度调查。最初电子表格是空白的,仅当受害者启用宏后调查表才会显示给用户,恶意VBA代码开始...
- 下一篇
聚焦中小企业关键数据防护,昂楷新品企数保重磅发布
4月15日,昂楷科技新产品——企数保发布会在线上成功召开。昂楷企数保专为中小企业设计, 以更小成本,使用更优的安全手段,解决企业核心数据安全问题。 昂楷企数保 昂楷发布新品——企数保,为中小企业数据安全保驾护航 数据安全问题对每一家企业都是不容忽视的,随着信息技术的快速迭代,数据安全产业的高速发展,中小企业在确保其数据安全方面所需的资金、资源和人员,相比大型企业远远不足。在此背景下,昂楷企数保成功上线,专门针对中小企业关键数据防护,为中小企业数据安全保驾护航。 记者了解到,昂楷企数保可帮助企业以较小的投入获取更优的企业关键数据安全解决方案;帮助企业实现业务系统全方位防护,提高企业核心数据防护能力;通过直观展示,无需专业人士,即可对企业关键数据安全实现可知、可管、可控;帮助企业满足合规性要求,顺利通过IT审计,行业标准进一步加强。 昂楷企数保具有以下五大特性:小成本大防护、设备小巧、“0”影响、即插即用、威胁及时感知。 ◆小成本大防护:以更小的成本,更优的安全手段进行防护,直奔企业关键数据。 ◆设备小巧:设备小巧轻便,不耗费人力搬运以及空间占用,省心省力。 ◆“0”影响:无需对业务系统进...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2整合Redis,开启缓存,提高访问速度
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- MySQL8.0.19开启GTID主从同步CentOS8
- Hadoop3单机部署,实现最简伪集群
- CentOS8编译安装MySQL8.0.19
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长