近日，一份來(lái)自英國消費者協(xié)會(huì )雜志《Which?》調查報告發(fā)現，福特和大眾的兩款暢銷(xiāo)車(chē)存在嚴重安全漏洞，黑客可利用該漏洞發(fā)動(dòng)攻擊，竊取車(chē)主的個(gè)人隱私信息，甚至是操控車(chē)輛，對車(chē)主的信息安全和生命安全產(chǎn)生極大的威脅。

《Which?》雜志聯(lián)合網(wǎng)絡(luò )安全公司Context Information Security開(kāi)展調查，全方位檢查了大眾Polo SEL TSI手動(dòng)1.0L和福特?？怂光佔詣?dòng)1.0L兩款汽油型聯(lián)網(wǎng)汽車(chē)，這兩款汽車(chē)目前是歐洲市場(chǎng)最受歡迎的兩款車(chē)型。

然而，盡管這兩款車(chē)型得到了許多人的喜愛(ài)，而其安全測試卻是讓人大跌眼鏡。據《Which?》的測試結果顯示，安全研究人員能夠進(jìn)入大眾的Polo汽車(chē)的信息娛樂(lè )系統，這個(gè)系統可以說(shuō)是汽車(chē)“中樞神經(jīng)系統”的一部分，因為它會(huì )影響到汽車(chē)的牽引力控制（一項輔助車(chē)主操控汽車(chē)的功能）。此外，信息娛樂(lè )系統中還存儲著(zhù)用戶(hù)的個(gè)人敏感信息，比如電話(huà)、地理位置記錄等。

不僅如此，人員還發(fā)現只要抬起汽車(chē)前部的大眾徽章就能進(jìn)入前雷達模塊，黑客可通過(guò)這一動(dòng)作進(jìn)一步篡改車(chē)輛碰撞預警系統。

反觀(guān)另一方福特的?？怂箿y試結果，情況似乎也不容樂(lè )觀(guān)。安全研究人員使用最為常規的工具就可以攔截其輪胎壓力監控系統的信息，所以攻擊者可以利用這個(gè)漏洞發(fā)送虛假信息，即使輪胎沒(méi)氣仍顯示充氣正常，從而產(chǎn)生風(fēng)險。

當專(zhuān)家檢查福特的系統代碼時(shí)，他們還驚奇地發(fā)現福特生產(chǎn)線(xiàn)的計算機系統wifi和密碼細節，經(jīng)掃描確認是福特位于密歇根州底特律的裝配廠(chǎng)。

數據安全“漏洞”

除了測試汽車(chē)本身的系統安全，此次調查人員還對聯(lián)網(wǎng)汽車(chē)會(huì )產(chǎn)生多少車(chē)主的個(gè)人數據提出了質(zhì)疑，以及這些數據的存儲、分享和使用是否都存在問(wèn)題。

福特的Pass應用程序可以隨時(shí)分享汽車(chē)的地理位置和行駛方向，以及汽車(chē)傳感器（警示燈、液位、耗油量等）的一些數據。APP甚至可以跟蹤“駕駛特性”，例如速度、加速度、制動(dòng)和轉向。

其隱私政策規定，它可以與“授權經(jīng)銷(xiāo)商和我們的分支機構”共享這些信息。

另外，大眾的應用程序We Connect也發(fā)現其會(huì )向用戶(hù)索要大量的權限，包括訪(fǎng)問(wèn)用戶(hù)日歷中的“私密信息”和USB存儲設備的內容。其隱私權限政策規定中，這樣寫(xiě)到：

大眾在您使用該應用程序時(shí)會(huì )收集數據，但僅在“出于履行合同義務(wù)的必要”時(shí)才與第三方共享數據。

在《Which?》將這些問(wèn)題報告給兩家汽車(chē)廠(chǎng)商后，福特拒接這份技術(shù)報告，并回應有持續跟進(jìn)網(wǎng)絡(luò )安全的工作并減小其中的風(fēng)險，客戶(hù)數據也是用在有價(jià)值的連接設備之中。而大眾則是積極參與并回應調查，雖然表示報告呈現的結果不會(huì )對用戶(hù)有任何風(fēng)險，但愿意和供應商共享這份報告。

在此，該報告還為用戶(hù)提供了幾個(gè)小建議來(lái)規避聯(lián)網(wǎng)汽車(chē)的安全風(fēng)險：

1、撤銷(xiāo)訪(fǎng)問(wèn)權限，從手機中刪除訪(fǎng)問(wèn)權限，斷開(kāi)和汽車(chē)的連接；

2、車(chē)輛轉手時(shí)清除自己的數據，進(jìn)入汽車(chē)的信息娛樂(lè )系統，查看并清除賬戶(hù)信息；

3、買(mǎi)二手車(chē)時(shí)注意以往數據的清除，這樣就不用擔心之前的車(chē)主可以跟蹤和解鎖汽車(chē)。

車(chē)聯(lián)網(wǎng)時(shí)代的附加風(fēng)險

在報告中披露的嚴重漏洞會(huì )對用戶(hù)財產(chǎn)和生命安全造成重大威脅。雖然這次只測試了這兩款車(chē)型，但是這類(lèi)問(wèn)題卻是“行業(yè)毒瘤”。盡管有嚴格的汽車(chē)碰撞安全和尾氣排放法規標準，但是對于車(chē)內運行的重要計算機系統卻沒(méi)有同樣嚴格的審查。事實(shí)上，在汽車(chē)網(wǎng)絡(luò )安全方面，沒(méi)有統一的強制性標準，汽車(chē)制造商可以選擇忽略這些網(wǎng)絡(luò )安全問(wèn)題。

《Which?》雜志主編Lisa Barber認為:

現在，大多數汽車(chē)都包含功能強大的計算機系統，但是對這些系統的監管缺乏明顯意義，這意味著(zhù)它們可能會(huì )受到黑客的攻擊，從而使駕駛員的安全和個(gè)人數據面臨風(fēng)險。政府應該努力確保在汽車(chē)設計中內置一定的安全性，并禁止制造商在技術(shù)安全性上閉門(mén)造車(chē)，從而生產(chǎn)出存在嚴重缺陷的系統。

福特、大眾的漏洞事件誠然不是第一次發(fā)生，早期的奔馳漏洞和寶馬、豐田遭受的APT攻擊等都已經(jīng)嘗到網(wǎng)絡(luò )安全的“苦果”。在萬(wàn)物互聯(lián)時(shí)代，車(chē)輛的智能聯(lián)網(wǎng)只是其中的一個(gè)微小的、具體的場(chǎng)景。聯(lián)網(wǎng)設備帶來(lái)的便捷讓人們的生活有了更多的可能性，但是網(wǎng)絡(luò )層的風(fēng)險同樣也會(huì )引入到設備中?！奥?lián)網(wǎng)”一詞不僅僅代表的是技術(shù)的更新和進(jìn)步，更是意味著(zhù)人們可能面臨的附加風(fēng)險。

如前所述，在聯(lián)網(wǎng)產(chǎn)品的設計之初，安全因素就應該被考慮進(jìn)去，產(chǎn)品本身的技術(shù)再先進(jìn)，沒(méi)有安全性保駕護航，也是枉然。而政府在這個(gè)過(guò)程中，往往是起到監管的作用，真正地去督促各廠(chǎng)商重視網(wǎng)絡(luò )安全、加強網(wǎng)絡(luò )安全，從某種程度上來(lái)說(shuō)，政府發(fā)揮的作用也是應對網(wǎng)絡(luò )安全風(fēng)險的一個(gè)重要因素。

來(lái)源：FreeBuf.COM