关于CarsBlues蓝牙漏洞的影响全球数千万辆汽车

这次可不是某一家汽车制造商或单一零部件生产商的问题了，新发现的大规模车载网络漏洞估计影响全球数千万辆汽车。
Privacy4Cars是首款也是唯一一款帮助用户清除现代汽车中的个人可识别信息(PII)的手机App。就在11月15日，Privacy4Cars披露了名为CarsBlues的汽车黑客攻击。该攻击通过蓝牙协议利用多款汽车上的资讯娱乐系统，用现成的廉价硬软件即可在数分钟内实现，且不需要高深的技术知识。

从Privacy4Cars的发现中不难看出，将手机与自家汽车同步的用户可能就面临着个人隐私威胁了。据估计，全球受影响汽车数量约有几千万辆，且随着更多车辆被评估，这个数字可能还会升级。

该攻击是Privacy4Cars公司创始人 Andrea Amico 在今年2月开发该同名App时发现的。Amico是一位车辆隐私与网络安全倡导者，一发现该漏洞便立即通知了汽车信息共享与分析中心(Auto-ISAC)。该中心是汽车行业为共享和分析成员间出现的网络安全风险情报而成立的组织。Amico与Auto-ISAC协作数月，帮助其受影响成员了解攻击者是如何在车主毫无所觉，甚至手机都没连到车载系统的情况下，访问存储在车上的联系人、通话记录、短信记录等内容的。Amico最近注意到，至少2家制造商对其2019新车型做了系统性更新，使其新车对CarsBlues免疫。

既然现在已经尽到了道德披露的义务，我们就将重点放到教育业界和公众上了，让他们了解在车载系统中留下个人信息的相关风险。鉴于CarsBlues攻击易复制、应用广、检测难的特性，业界和消费者显然需要采取主动，将个人可识别信息从车载资讯娱乐系统中删掉。

个人信息被暴露的风险最大的用户，是将自己的手机与不再在自己直接监管下的车辆同步了的那些，包括但不限于被租用的车辆，通过车队或订阅服务共享的车辆，出借、出售、到期返还、银行收回或挂失的车辆。另外，同步了手机又将自己的爱车临时交付他人的用户，比如交给经销商的服务中心、维修店、点对点交易或泊车小弟的用户，同样面临CarsBlues风险。

车主应在让其他人接触自己的车辆前将所有个人数据从车载资讯娱乐系统中删除。汽车制造业应考虑确立策略以保护消费者数据，无论是通过帮助客户删除个人信息也好，还是自己执行删除操作也好——类似于电信运营商处理退回的智能手机那样。

截至目前，Pricacy4Cars认为，鉴于CarsBlues影响的汽车制造商和车型太多，漏洞存在时间太久，删除车辆上的个人数据是最可靠的保护措施。为实现其保护汽车隐私的社会使命与承诺，Pricacy4Cars决定继续免费提供其同名App，iOS和安卓用户均可免费下载。