福特、大众畅销车暴露安全漏洞,黑客窃取隐私操纵车辆可利用该漏洞发起攻击,窃取车主个人隐私信息,甚至控制车辆,对信息安全构成极大威胁和车主的生命安全。《Which?》杂志联合网络安全公司ContextInformationSecurity进行调查,对大众PoloSELTSI手动1.0L和福特福克斯Titanium自动1.0L汽油联网汽车进行了全面检查。这两款车是目前欧洲市场最畅销的两款车型。然而,这两款车型在深受喜爱的同时,其安全测试却让人大跌眼镜。安全研究人员能够访问大众汽车的Polo汽车的信息娱乐系统,该系统是汽车“中枢神经系统”的一部分,因为它会影响汽车的牵引力控制(一种辅助车主控制汽车的功能)。此外,信息娱乐系统还存储了用户的敏感个人信息,如通话记录、地理位置记录等。不仅如此,工作人员还发现,只要掀开车头的大众车标,就可以接入车头雷达模块,黑客可以通过这一动作进一步篡改车辆碰撞预警系统。另一方面,福特的福克斯测试结果,情况似乎并不乐观。安全研究人员可以使用最常见的工具从他们的胎压监测系统中截获信息,因此攻击者可以利用此漏洞发送虚假信息,即即使轮胎没气,仍显示已充气,从而造成风险。专家们在检查福特的系统代码时,还惊奇地发现了福特生产线电脑系统的wifi和密码详情,经扫描识别为福特位于密歇根州底特律的装配厂。数据安全“漏洞”除了检测汽车自身系统的安全性外,调查人员还质疑车联网会产生多少车主个人数据,存储、共享和使用是否存在问题这个数据。福特的Pass应用程序可以随时分享汽车的地理位置和行车路线,以及汽车传感器的一些数据(警示灯、液位、油耗等)。该应用程序甚至可以跟踪“驾驶特性”,例如速度、加速度、制动和转向。其隐私政策规定,它可能会与“授权经销商和我们的附属公司”共享此信息。FordPass隐私政策另外,大众汽车的应用程序WeConnect还发现它要求用户提供广泛的权限,包括访问用户日历中的“私人信息”和USB存储设备的内容。在其隐私权政策中,它写道:大众在您使用该应用程序时收集数据,但仅在“履行合同义务必要时”与第三方共享。《Which?》将这些问题报告给两家车厂后,福特驳回了技术报告,并回应称会继续跟进网络安全,降低风险。客户数据还用于有价值的连接设备。之中。大众汽车积极参与并回应了调查。尽管它表示报告中呈现的结果不会对用户构成任何风险,但它愿意与供应商共享该报告。在此,报告还为用户提供了几个规避车联网安全风险的小贴士:撤销访问权限、从手机上删除访问权限、断开与汽车的连接;车辆易手时清除自身数据,进入车载Infotainment系统,查看和清除账户信息;购买二手车时,注意清空之前的数据,这样就不用担心前任车主可以跟踪解锁汽车了。车联网时代的附加风险报告中披露的严重漏洞将对用户的财产和生命安全构成重大威胁。虽然此次只测试了这两款车型,但这样的问题堪称“行业毒瘤”。虽然有严格的车祸安全和尾气排放法规,但对车内运行的重要计算机系统的审查程度不同。事实上,在汽车网络安全方面并没有统一的强制标准,汽车制造商可以选择忽略这些网络安全问题。《Which?》杂志主编LisaBarber认为:现在大多数汽车都配备了强大的计算机系统,但这些系统缺乏有效的监管意味着它们可能会受到黑客攻击,危及驾驶员安全和个人数据。政府应努力确保在汽车设计中内置一些安全措施,并禁止制造商关起门来从事技术安全工作,生产存在严重缺陷的系统。诚然,福特和大众的漏洞事件并不是第一次发生。早期的奔驰漏洞、宝马、丰田遭遇的APT攻击,都尝到了网络安全的“苦果”。在万物互联时代,车联网只是其中一个微小而具体的场景。联网设备带来的便利给人们的生活带来了更多的可能性,但网络层的风险也会被引入到设备中。“网络”一词不仅代表着技术的更新与进步,也意味着人们可能面临的额外风险。如前所述,在设计联网产品之初,就应该考虑安全因素。产品本身的技术再先进,没有安全保护也是白搭。在这个过程中,政府往往起到监管的作用,真正督促厂商重视和加强网络安全。在一定程度上,政府所扮演的角色也是应对网络安全风险的重要因素。
