信息來源：Freebuf

近日，一份來自英國(guó)消費(fèi)者協(xié)會(huì)雜志《Which?》調(diào)查報(bào)告發(fā)現(xiàn)，福特和大眾的兩款暢銷車存在嚴(yán)重安全漏洞，黑客可利用該漏洞發(fā)動(dòng)攻擊，竊取車主的個(gè)人隱私信息，甚至是操控車輛，對(duì)車主的信息安全和生命安全產(chǎn)生極大的威脅。

《Which?》雜志聯(lián)合網(wǎng)絡(luò)安全公司Context Information Security開展調(diào)查，全方位檢查了大眾Polo SEL TSI手動(dòng)1.0L和福特?？怂光?zhàn)詣?dòng)1.0L兩款汽油型聯(lián)網(wǎng)汽車，這兩款汽車目前是歐洲市場(chǎng)最受歡迎的兩款車型。

然而，盡管這兩款車型得到了許多人的喜愛，而其安全測(cè)試卻是讓人大跌眼鏡。據(jù)《Which?》的測(cè)試結(jié)果顯示，安全研究人員能夠進(jìn)入大眾的Polo汽車的信息娛樂系統(tǒng)，這個(gè)系統(tǒng)可以說是汽車“中樞神經(jīng)系統(tǒng)”的一部分，因?yàn)樗鼤?huì)影響到汽車的牽引力控制（一項(xiàng)輔助車主操控汽車的功能）。此外，信息娛樂系統(tǒng)中還存儲(chǔ)著用戶的個(gè)人敏感信息，比如電話、地理位置記錄等。

不僅如此，人員還發(fā)現(xiàn)只要抬起汽車前部的大眾徽章就能進(jìn)入前雷達(dá)模塊，黑客可通過這一動(dòng)作進(jìn)一步篡改車輛碰撞預(yù)警系統(tǒng)。

反觀另一方福特的?？怂箿y(cè)試結(jié)果，情況似乎也不容樂觀。安全研究人員使用最為常規(guī)的工具就可以攔截其輪胎壓力監(jiān)控系統(tǒng)的信息，所以攻擊者可以利用這個(gè)漏洞發(fā)送虛假信息，即使輪胎沒氣仍顯示充氣正常，從而產(chǎn)生風(fēng)險(xiǎn)。

當(dāng)專家檢查福特的系統(tǒng)代碼時(shí)，他們還驚奇地發(fā)現(xiàn)福特生產(chǎn)線的計(jì)算機(jī)系統(tǒng)wifi和密碼細(xì)節(jié)，經(jīng)掃描確認(rèn)是福特位于密歇根州底特律的裝配廠。

數(shù)據(jù)安全“漏洞”

除了測(cè)試汽車本身的系統(tǒng)安全，此次調(diào)查人員還對(duì)聯(lián)網(wǎng)汽車會(huì)產(chǎn)生多少車主的個(gè)人數(shù)據(jù)提出了質(zhì)疑，以及這些數(shù)據(jù)的存儲(chǔ)、分享和使用是否都存在問題。

福特的Pass應(yīng)用程序可以隨時(shí)分享汽車的地理位置和行駛方向，以及汽車傳感器（警示燈、液位、耗油量等）的一些數(shù)據(jù)。APP甚至可以跟蹤“駕駛特性”，例如速度、加速度、制動(dòng)和轉(zhuǎn)向。

其隱私政策規(guī)定，它可以與“授權(quán)經(jīng)銷商和我們的分支機(jī)構(gòu)”共享這些信息。

福特Pass隱私條款

另外，大眾的應(yīng)用程序We Connect也發(fā)現(xiàn)其會(huì)向用戶索要大量的權(quán)限，包括訪問用戶日歷中的“私密信息”和USB存儲(chǔ)設(shè)備的內(nèi)容。其隱私權(quán)限政策規(guī)定中，這樣寫到：

大眾在您使用該應(yīng)用程序時(shí)會(huì)收集數(shù)據(jù)，但僅在“出于履行合同義務(wù)的必要”時(shí)才與第三方共享數(shù)據(jù)。

在《Which?》將這些問題報(bào)告給兩家汽車廠商后，福特拒接這份技術(shù)報(bào)告，并回應(yīng)有持續(xù)跟進(jìn)網(wǎng)絡(luò)安全的工作并減小其中的風(fēng)險(xiǎn)，客戶數(shù)據(jù)也是用在有價(jià)值的連接設(shè)備之中。而大眾則是積極參與并回應(yīng)調(diào)查，雖然表示報(bào)告呈現(xiàn)的結(jié)果不會(huì)對(duì)用戶有任何風(fēng)險(xiǎn)，但愿意和供應(yīng)商共享這份報(bào)告。

在此，該報(bào)告還為用戶提供了幾個(gè)小建議來規(guī)避聯(lián)網(wǎng)汽車的安全風(fēng)險(xiǎn)：

1、撤銷訪問權(quán)限，從手機(jī)中刪除訪問權(quán)限，斷開和汽車的連接；

2、車輛轉(zhuǎn)手時(shí)清除自己的數(shù)據(jù)，進(jìn)入汽車的信息娛樂系統(tǒng)，查看并清除賬戶信息；

3、買二手車時(shí)注意以往數(shù)據(jù)的清除，這樣就不用擔(dān)心之前的車主可以跟蹤和解鎖汽車。

車聯(lián)網(wǎng)時(shí)代的附加風(fēng)險(xiǎn)

在報(bào)告中披露的嚴(yán)重漏洞會(huì)對(duì)用戶財(cái)產(chǎn)和生命安全造成重大威脅。雖然這次只測(cè)試了這兩款車型，但是這類問題卻是“行業(yè)毒瘤”。盡管有嚴(yán)格的汽車碰撞安全和尾氣排放法規(guī)標(biāo)準(zhǔn)，但是對(duì)于車內(nèi)運(yùn)行的重要計(jì)算機(jī)系統(tǒng)卻沒有同樣嚴(yán)格的審查。事實(shí)上，在汽車網(wǎng)絡(luò)安全方面，沒有統(tǒng)一的強(qiáng)制性標(biāo)準(zhǔn)，汽車制造商可以選擇忽略這些網(wǎng)絡(luò)安全問題。

《Which?》雜志主編Lisa Barber認(rèn)為:

現(xiàn)在，大多數(shù)汽車都包含功能強(qiáng)大的計(jì)算機(jī)系統(tǒng)，但是對(duì)這些系統(tǒng)的監(jiān)管缺乏明顯意義，這意味著它們可能會(huì)受到黑客的攻擊，從而使駕駛員的安全和個(gè)人數(shù)據(jù)面臨風(fēng)險(xiǎn)。政府應(yīng)該努力確保在汽車設(shè)計(jì)中內(nèi)置一定的安全性，并禁止制造商在技術(shù)安全性上閉門造車，從而生產(chǎn)出存在嚴(yán)重缺陷的系統(tǒng)。

福特、大眾的漏洞事件誠然不是第一次發(fā)生，早期的奔馳漏洞和寶馬、豐田遭受的APT攻擊等都已經(jīng)嘗到網(wǎng)絡(luò)安全的“苦果”。在萬物互聯(lián)時(shí)代，車輛的智能聯(lián)網(wǎng)只是其中的一個(gè)微小的、具體的場(chǎng)景。聯(lián)網(wǎng)設(shè)備帶來的便捷讓人們的生活有了更多的可能性，但是網(wǎng)絡(luò)層的風(fēng)險(xiǎn)同樣也會(huì)引入到設(shè)備中?！奥?lián)網(wǎng)”一詞不僅僅代表的是技術(shù)的更新和進(jìn)步，更是意味著人們可能面臨的附加風(fēng)險(xiǎn)。

如前所述，在聯(lián)網(wǎng)產(chǎn)品的設(shè)計(jì)之初，安全因素就應(yīng)該被考慮進(jìn)去，產(chǎn)品本身的技術(shù)再先進(jìn)，沒有安全性保駕護(hù)航，也是枉然。而政府在這個(gè)過程中，往往是起到監(jiān)管的作用，真正地去督促各廠商重視網(wǎng)絡(luò)安全、加強(qiáng)網(wǎng)絡(luò)安全，從某種程度上來說，政府發(fā)揮的作用也是應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的一個(gè)重要因素。