《Which?》雜志聯合網絡安全公司ContextInformationSecurity開展調查,全方位檢查了大眾PoloSELTSI手動1.0L和福特福克斯鈦自動1.0L兩款汽油型聯網汽車,這兩款汽車目前是歐洲市場最受歡迎的兩款車型。
然而,盡管這兩款車型得到了許多人的喜愛,而其安全測試卻是讓人大跌眼鏡。據《Which?》的測試結果顯示,安全研究人員能夠進入大眾的Polo汽車的信息娛樂系統,這個系統可以說是汽車“中樞神經系統”的一部分,因為它會影響到汽車的牽引力控制(一項輔助車主操控汽車的功能)。此外,信息娛樂系統中還存儲著用戶的個人敏感信息,比如電話、地理位置記錄等。
不僅如此,人員還發現只要抬起汽車前部的大眾徽章就能進入前雷達模塊,黑客可通過這一動作進一步篡改車輛碰撞預警系統。
反觀另一方福特的福克斯測試結果,情況似乎也不容樂觀。安全研究人員使用最為常規的工具就可以攔截其輪胎壓力監控系統的信息,所以攻擊者可以利用這個漏洞發送虛假信息,即使輪胎沒氣仍顯示充氣正常,從而產生風險。
當專家檢查福特的系統代碼時,他們還驚奇地發現福特生產線的計算機系統wifi和密碼細節,經掃描確認是福特位于密歇根州底特律的裝配廠。
數據安全“漏洞”
除了測試汽車本身的系統安全,此次調查人員還對聯網汽車會產生多少車主的個人數據提出了質疑,以及這些數據的存儲、分享和使用是否都存在問題。
福特的Pass應用程序可以隨時分享汽車的地理位置和行駛方向,以及汽車傳感器(警示燈、液位、耗油量等)的一些數據。APP甚至可以跟蹤“駕駛特性”,例如速度、加速度、制動和轉向。
其隱私政策規定,它可以與“授權經銷商和我們的分支機構”共享這些信息。
福特Pass隱私條款
另外,大眾的應用程序WeConnect也發現其會向用戶索要大量的權限,包括訪問用戶日歷中的“私密信息”和USB存儲設備的內容。其隱私權限政策規定中,這樣寫到:
大眾在您使用該應用程序時會收集數據,但僅在“出于履行合同義務的必要”時才與第三方共享數據。
在《Which?》將這些問題報告給兩家汽車廠商后,福特拒接這份技術報告,并回應有持續跟進網絡安全的工作并減小其中的風險,客戶數據也是用在有價值的連接設備之中。而大眾則是積極參與并回應調查,雖然表示報告呈現的結果不會對用戶有任何風險,但愿意和供應商共享這份報告。
在此,該報告還為用戶提供了幾個小建議來規避聯網汽車的安全風險:
撤銷訪問權限,從手機中刪除訪問權限,斷開和汽車的連接;
車輛轉手時清除自己的數據,進入汽車的信息娛樂系統,查看并清除賬戶信息;
買二手車時注意以往數據的清除,這樣就不用擔心之前的車主可以跟蹤和解鎖汽車。
車聯網時代的附加風險
在報告中披露的嚴重漏洞會對用戶財產和生命安全造成重大威脅。雖然這次只測試了這兩款車型,但是這類問題卻是“行業毒瘤”。盡管有嚴格的汽車碰撞安全和尾氣排放法規標準,但是對于車內運行的重要計算機系統卻沒有同樣嚴格的審查。事實上,在汽車網絡安全方面,沒有統一的強制性標準,汽車制造商可以選擇忽略這些網絡安全問題。
《Which?》雜志主編LisaBarber認為:
現在,大多數汽車都包含功能強大的計算機系統,但是對這些系統的監管缺乏明顯意義,這意味著它們可能會受到黑客的攻擊,從而使駕駛員的安全和個人數據面臨風險。政府應該努力確保在汽車設計中內置一定的安全性,并禁止制造商在技術安全性上閉門造車,從而生產出存在嚴重缺陷的系統。
福特、大眾的漏洞事件誠然不是第一次發生,早期的奔馳漏洞和寶馬、豐田遭受的APT攻擊等都已經嘗到網絡安全的“苦果”。在萬物互聯時代,車輛的智能聯網只是其中的一個微小的、具體的場景。聯網設備帶來的便捷讓人們的生活有了更多的可能性,但是網絡層的風險同樣也會引入到設備中。“聯網”一詞不僅僅代表的是技術的更新和進步,更是意味著人們可能面臨的附加風險。
如前所述,在聯網產品的設計之初,安全因素就應該被考慮進去,產品本身的技術再先進,沒有安全性保駕護航,也是枉然。而政府在這個過程中,往往是起到監管的作用,真正地去督促各廠商重視網絡安全、加強網絡安全,從某種程度上來說,政府發揮的作用也是應對網絡安全風險的一個重要因素。
