高端汽车的安全专家以及车主表示,之前的车主仍然可访问捷豹路虎“联网汽车”上的数据和在线控制。捷豹路虎认为其隐私保护和 InControl 技术的安全性没有问题,事实果真如此吗?
安全研究员 Matt Watts 在博客上发表文章,说明了自己所购买的一辆联网汽车中存在的问题以及汽车厂商收集的数据,不过起初并未提及捷豹路虎。
移动 app 和在线账户有问题
Watts 购买的这辆二手捷豹路虎能够远程控制气候系统、呼叫救援服务、上传 GPS/目的地详情等等。这辆车还能持续记录这类信息并将其存储在在线账户中。
多数司机并不使用这个功能,但对于极客 Watts 而言并非如此。他将捷豹 app 下载至智能手机并开始进行实验,结果发现能够使用8位数的汽车识别号码 (VIN) 将汽车连接至一个在线账户。
捷豹路虎网站通知 Watts 称汽车连接的是另外一名车主的账户。和支持中心以及捷豹路虎经销商交涉后,Watts 被告知此前的车主在出售汽车前应当断开连接。最初,他得到的建议是联系之前的车主,但这种建议本身就让人不舒服。Watts 指出,“让厂商更新汽车网络详情的流程是让我尝试找到之前的车主,然后为我服务。”
而问题不只是 Watts 无法使用二手车的电机功能。他解释称,“之前的车主对它拥有控制权,他们能解锁、在我不知情的前提下设置气候控制,而且即使汽车并未启动,他们甚至也可能查看卫星导航系统、呼叫救援服务等,而这所有的一切都是在我不知情的情况下发生的。有人能够访问我的大量数据,而厂商似乎对此并不打算做出任何响应。”
Watts 表示,“我和汽车的位置信息被收集且被提供给此前连接这款 app 的任何人。在汽车易手时,捷豹路虎需要采取防御方法。我不知道如何实现这一点,但很明显目前的流程做得还不够。”
另外一名不愿透露名字的二手路虎司机兼 IT 安全专家表示,这个问题并不仅仅在于移动 app 上,捷豹路虎的在线账户也有问题。账户和捷豹路虎提供的 InControl 服务绑定在一起,在汽车易手时应当从中删除 VIN/汽车信息。
捷豹路虎回应
捷豹路虎表示,“Matt 的情况本可以处理得更好一点,在这个流程中他接收到了不正确的信息。”捷豹路虎发表一份冗长的声明为自己销售的联网汽车流程辩护作为对这两名安全专家批评的回应。
捷豹路虎在声明中指出,客户将汽车出售给捷豹路虎的零售商时,零售商在购买过程中将检查客户已经清空账户并且已从 InControl Portal 删除汽车。零售商也将建议出售/交换汽车的客户自动解绑。但如果交易是私下进行的,则捷豹路虎无法检查卖家是否检查了这个流程。如果卖家并未这么做,则新车主可在当地零售商处重置 InControl 远程 app 以及所有的 InControl 服务。所有权检查完后,零售商将从汽车解绑之前的车主。
那名不愿透露名字的安全专业人士表示,如果拥有 VIN,那么就能够按下汽车中的某个按钮静默启动追踪,从而实施一系列动作如远程解锁、启动引擎以及查看汽车的位置。
Watts 补充称,“目前我路虎车之前的车主能够从世界上的任何地方连接数据”,实施如下但不仅限于此的行为:
远程查看汽车信息
查看旅行历史
调整气候控制
远程按喇叭、鸣笛并打开车灯
解锁汽车
Watts 通过一名独立交易商购买了这辆汽车。捷豹路虎表示如果按照注册交易商的销售流程行事,那么 Watts 遭遇的问题就不可能发生。Watts 对此回应不满。他指出,无法接受捷豹路虎将解绑之前车主 app 的责任推到经销商和独立经销商或者新车主的头上。注册经销商并不一定总会那么做,独立经销商甚至可能并未意识到这里的问题,而车主如果不是技术人员但想用这些功能的话甚至都没有意识到这些功能的存在。他还认为捷豹路虎撇清自身责任的做法不可取,因为收集数据的正是捷豹路虎。
用户数据和信息应当是开发新的联网汽车系统和能力时首先应考虑的因素。当说到 Watts 和另外一名来源人士所遭遇的事情会带来 GDPR 方面的影响时, 捷豹猎虎的回复乏善可陈,表示公司很重视客户机密和客户数据的隐私信息并将继续改进云云。
Watts 计划和经销商取得联系解决所遇到的问题并提醒人们注意。他认为流程问题满满,厂商需要采取措施。另外一名未具名来源人士也表达了同样的担忧。
而联网汽车收集数据的安全问题不仅限于捷豹路虎。有人看到 Watts 发布的文章后表示,一年多以前曾在荷兰通过一家大型经销商出售了一辆“德国”车,但现在仍然能远程控制这辆车,而在交易过程中,经销商并未提及任何关于 app 或者断开连接的字眼。
交通安全专家 Chris Roberts 表示,在购买奔驰 S550汽车时也遇到了同样的问题。
邪恶男仆攻击
捷豹路虎还解释了 InControl 联网汽车技术的设置方式:
1. 激活流程影响所有的远程信息处理功能,根据车型年份、汽车线路和市场的不同而不同,可参考 Remote Premium 和InControl Protect。
2. 远程信息处理功能的激活是一种提前考虑的动作,无法随便完成:客户必须通过 InControl 门户完成;准备好 VIN;遵循一系列步骤如创建账户等;连续10秒钟按下汽车的某个按钮;然后按照 web 浏览器中的其它步骤完成激活。
3. 另外还要求:(1)客户可以实际访问汽车,因此必须拥有车钥匙;(2)其他客户未连接至汽车,即无法通过这种方法“踢掉现有客户”。
不过,不愿具名的安全专业人士对上述提及的要求有一些争议。“如果汽车是未绑定状态,就能将汽车绑定至账户。需要实际访问汽车按下按钮并获知并非机密信息的 VIN。它并非邪恶女佣攻击,而是邪恶泊车员或邪恶男仆攻击。如果并未设置,那么我作为邪恶男仆可轻易进行设置并获悉客户所在的位置并解锁汽车启动引擎。我认为在没有钥匙的情况下无法开走汽车。可能引擎是远程启用的,但不允许在没有钥匙的情况下就真的把车开走。”
本文由360代码卫士翻译自TheRegister
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
