撰文/ 马晓蕾
编辑/ 温 莎
设计/ 师玉超
(相关资料图)
来源/ 福布斯,作者:Thomas Brewster
本田和日产车主注意了,你们的车可能处于“黑客易感”状态。
网络安全研究人员12月21日警告称,对于本田和日产车主来说,黑客只需一台笔记本电脑,就可能解锁或启动他们的车辆,并突袭存储在里面的个人数据,甚至还可以远程按喇叭。
这暴露了汽车互联网连接系统的一个弱点:那些跟踪车辆使用和位置的系统与车主的手机相连接并吸纳用户数据。这些技术也经常被联邦执法机构利用,移民和边境的执法机构进行了前所未有的大笔投资,从多达10000种不同型号的汽车中提取大量数据,如密码和车辆位置。之前有报告称,特斯拉信息娱乐系统存储了Wi-Fi和Spotify的密码。
研究人员山姆·库里(Sam Curry)表示,这一漏洞是由于汽车共享远程信息处理系统中的一个缺陷,该系统记录了速度、刹车和门的使用等数据,由SiriusXM公司创建。该缺陷现已修复。
黑客启动攻击所需的唯一数据是汽车的VIN码,在许多车型的挡风玻璃上很容易检索到。利用简单的计算机程序就可以获取,并将其作为一种假的身份信息发送到SiriusXM的服务器上,骗取汽车相信他是真正的车主。然后,该程序将要求SiriusXM调出储存在汽车中的个人数据,打开点火装置或执行其他功能。
库里说,对本田的讴歌系列和日产的英菲尼迪车型进行的解锁黑客测试表明,这两个品牌的车型也受到了影响。SiriusXM证实,在库里的团队向该公司发出警报后的24小时内,该缺陷已经得到解决。本田表示,它没有看到任何黑客恶意利用该漏洞的迹象。日产还没有发表评论。
这项研究不仅揭露了一个数字漏洞是如何对大量的汽车产生实质影响的,还强调了从一辆车中可以检索到多少个人数据。从汽车上收集的潜在犯罪证据有时比从智能手机上获得的更多,而且通常安全性较差,是移民和边境执法人员在2022年的关注重点。
法院文件和政府记录显示,负责监测墨西哥边境的机构在汽车黑客工具上进行了有史以来最大额的投资,称可以从车载电脑中获得大量宝贵的证据。与此同时,隐私倡导者也在发出警报称汽车是车轮上的监控。
在最近对墨西哥边境附近的一辆2019年道奇Charger的搜查中,一名巡逻人员在报告中写道,那些提供GPS、远程控制和娱乐功能的信息娱乐系统对政府调查人员特别有用。它们可以提供关于嫌疑人的位置、电子邮件地址、IP地址和电话号码的信息。它甚至可以指出账户用户的心理状态,包括对所调查的犯罪行为的了解、动机和自愿性。
该巡逻人员写道,一个信息娱乐系统也可以泄露用户的密码。酒类、烟草、火器和爆炸物管理局(ATF)10月份在密苏里州试图从一辆2022年的福特F-150车上收集信息,该机构提交的一份搜查令中也提出了同样的观点,并详细说明了汽车的内部计算机是如何被设计为存储大量数据的,并且有可能在不接触手机的情况下从已经连接到汽车的手机上恢复大量信息。
根据该机构的记录,有超过1万种型号的车辆由于使用了数字技术而可能受到袭击,包括:宝马、别克、凯迪拉克、雪佛兰、克莱斯勒、道奇、菲亚特、福特、GMC、悍马、Jeep、林肯、玛莎拉蒂、奔驰、水星、庞蒂亚克、公羊、土星、丰田和大众。
黑客或警方也可以获得大量汽车的公共信息。网络安全研究员库里称,汽车的VIN码是公开的,这很可怕。他补充说:“有了VIN码,你就可以查询有关汽车的信息。”
为了从被扣押的汽车中获得最有用的数据,海关和边境保护局(CBP)以及移民海关执法局(ICE)今年在汽车取证技术上花的钱是有史以来最多的,这些技术是由位于马里兰州的行业领导者Berla公司提供的。该公司的iVe工具可以为地方和联邦执法部门以及军事机构从车辆中挖掘出数据。
根据政府合同记录,8月份CBP在iVe上花费了超过38万美元,几乎是其之前在2020年最大单笔采购5万美元的8倍。ICE自2010年以来一直在购买Berla的工具和培训,9月份在iVe上花费了50万美元,远远超过之前的20万美元。在2022年5月的一份合同中,CBP特别要求Berla提供车辆信息提取法证工具、许可证和培训。
随着警方深入研究从汽车中涌出的信息,隐私维护者感到焦虑。10月,监督技术监督项目(S.T.O.P.)发布了一份报告称:“汽车收集的数据比我们的手机要详细得多,但它们得到的法律和技术保护却更少。”
S.T.O.P.研究主任埃莱尼·马尼斯(Eleni Manis)说,CBP和ICE正在将汽车数据武器化。
她说:“Berla的设备使CBP和ICE能够对乘客的生活进行全面搜索,可以轻松获得汽车的位置记录和最常去的地方,乘客的家庭和社会联系人,他们的通话记录,甚至社交媒体资料。虽然我们不知道CBP和ICE入侵了多少辆汽车,但我们知道几乎每辆新车都有漏洞。”
本文由汽车商业评论原创出品
转载或内容合作请联系说明
违规转载必究
违规转载必究