Privacy4Cars公司发出警告:一种名为CarsBlues的新型蓝牙技术可能会影响到数百万辆汽车。这种攻击技术利用了通过蓝牙安装在数款汽车上的信息娱乐系统的安全漏洞,它影响了将智能手机与汽车连接的用户。
Privacy4Cars公司创建了一款可从车辆中清除PII的移动应用程序,其研究人员表示,全球可能会有数千万辆汽车受到影响,而这仅是一个乐观的估计,实际可能被影响的汽车数量可能更多。风险最高的情况是司机将他们的智能手机与大量租借的车辆(这些车辆被归还后被反复租赁)连接进行数据同步,这样他们的数据极其可能暴露在恶意攻击者视野中。
“攻击行为可以在几分钟内完成,全程只需使用廉价且容易获得的硬件和软件,不需要大量高难度技术知识。根据调查结果,全球范围内将手机数据同步到汽车的用户的隐私都有可能受到威胁。随着评估分析进程的推进,这一数字目前持续上升至数百万辆。”
这项攻击技术由Privacy4Cars创始人Andrea Amico在2018年2月发现,他随后立即通知了汽车信息共享和分析中心(Auto-ISAC)。
Amico与Auto-ISAC为研究攻击者如何从受影响成员制造的车辆中窃取PII进行合作。攻击者可以访问信息中存储的联系人、呼叫日志、文本日志,在某些情况下还可以在汽车不连接移动设备的情况下访问文本消息。
当前制造商已经针对漏洞进行系统更新,新车型不必再遭受CarsBlues威胁。Privacy4Cars与Auto-ISAC已经完成了漏洞的(道德)披露和通知,当前致力于向大众科普将个人信息留置在车辆系统中的风险,企业和消费者都需要主动及时删除车辆娱乐信息系统中的个人身份信息。
Privacy4Cars公司建议,用户在允许其他用户使用其车辆之前,先从信息娱乐系统中删除个人数据。该公司还敦促监管机构提出保护消费者数据的示范方法,责令供应商设计/实践可帮助客户删除个人信息的系统。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。