物联网安全专题:你的二手车被“前任”控制了吗?

  • A+
所属分类:网络安全新闻

物联网安全专题:你的二手车被“前任”控制了吗?

智能汽车可谓是汽车行业未来发展的大方向,不少安全研究者甚至富有前瞻性地研究汽车系统中的漏洞,(如前不久科恩实验室发现多款宝马车型漏洞)这些漏洞允许除了车主以外的人做一些事情,比如控制信息娱乐系统,远程解锁汽车甚至控制转向机制。现在市面上的其他汽车哪怕不具备“智能”特性,联网仍是一大刚需。最近则有人提出,汽车系统各类危险中有一种广泛存在而又不那么引人注目的危险 ——潜在的隐私问题。

NetApp的数据策略师和技术总监马特•瓦茨(Matt Watts)在购买了一辆二手车后发现,前车主可以通过与车辆相连的应用程序访问自己的一系列个人信息。

他在博客文章中指出,“如今大量汽车具有在线'连接'功能,即使你不靠近它,也能进行人车交互。我可以远程控制气候系统,呼叫故障服务,上传GPS /目的地详细信息等等,它还记录了大部分信息并将其全部存储在您的在线帐户中。”

问题是,一旦车辆连接到该在线帐户和应用程序,前一个车主必须明确断开他/她对该帐户的访问权限,以便新的所有者链接到该帐户。因此,即使汽车更换了新的车主,之前的所有者仍将可以访问在线帐户——而所有新的所有者信息都存储在其中。

“当我试图将车辆连接到我的帐户时,该网站告诉我该车辆目前已链接到另一个用户帐户。”他从网站联系了经销商和制造商,但谁都无法提供帮助。Watts说“我们无法在未经他们许可的情况下删除所有者,以往前任车主通常会在他们出售汽车之前断开连接或者我们在part-ex书面授权从系统删除。“经销商建议追踪所有前任车主,并要求他们断开与帐户的连接。

Watts认为,其影响非常显着:“我的汽车的前任主人控制它时,汽车可以被解锁,他们可以在我不知情的情况下远程设置气候控制。即使汽车没有运行,他们也可以在我不知情的前提下,进入卫星导航系统,呼叫故障服务。其他人可以访问关于我自己和我的车辆的大量数据,而制造商似乎并未准备对此有所行动。”

这只是缺乏物联网安全性的又一个生动例子。在消费者和企业都对物联网如痴如醉的时代,制造商经常急于利用需求,而不是通过相关设计来保护隐私和安全。但通常情况下,供应链太复杂,以至于共同承担责任的想法在推诿扯皮中消失了。

Watts发现,许多人甚至不知道他们的汽车可能在某个地方的在线帐户中存储信息,这种对物联网安全天真的想当然同样也适用于其他行业。

趋势科技在最近的一份报告中发现,近一半(43%)的IT决策者和安全决策者表示,在实施物联网项目时,安全性是事后的想法(在德国达到46%的峰值)。此外,近三分之二(63%)认为物联网相关的网络安全威胁在过去12个月中有所增加(英国和美国上升至71%)。

虽然Watts没有具体说明他买的是哪款车,但他表示,今天大多数汽车都有这些类型的应用程序和信息记录,这造成了潜在的普遍隐私问题:“今天出售的许多汽车......正在收集大量关于汽车在其生命周期内的数据,包括你的行为,位置,目的地。”

新生事物的发展道路常常光明而曲折,我们确实应该在发展初期阶段多给予一些包容,但发现的问题同样值得重视。安全和开发不应总是处于对立面,和衷共济解决问题才是未来的出路。

CE安全网
网络安全宣传推广

发表评论

您必须登录才能发表评论!