撰文 / 馬曉蕾

編輯 / 溫 莎

設(shè)計 / 師玉超

來源 / 福布斯，作者：Thomas Brewster

本田和日產(chǎn)車主注意了，你們的車可能處于“黑客易感”狀態(tài)。

網(wǎng)絡(luò)安全研究人員12月21日警告稱，對于本田和日產(chǎn)車主來說，黑客只需一臺筆記本電腦，就可能解鎖或啟動他們的車輛，并突襲存儲在里面的個人數(shù)據(jù)，甚至還可以遠程按喇叭。

這暴露了汽車互聯(lián)網(wǎng)連接系統(tǒng)的一個弱點：那些跟蹤車輛使用和位置的系統(tǒng)與車主的手機相連接并吸納用戶數(shù)據(jù)。這些技術(shù)也經(jīng)常被聯(lián)邦執(zhí)法機構(gòu)利用，移民和邊境的執(zhí)法機構(gòu)進行了前所未有的大筆投資，從多達10000種不同型號的汽車中提取大量數(shù)據(jù)，如密碼和車輛位置。之前有報告稱，特斯拉信息娛樂系統(tǒng)存儲了Wi-Fi和Spotify的密碼。

研究人員山姆·庫里（Sam Curry）表示，這一漏洞是由于汽車共享遠程信息處理系統(tǒng)中的一個缺陷，該系統(tǒng)記錄了速度、剎車和門的使用等數(shù)據(jù)，由SiriusXM公司創(chuàng)建。該缺陷現(xiàn)已修復(fù)。

黑客啟動攻擊所需的唯一數(shù)據(jù)是汽車的VIN碼，在許多車型的擋風(fēng)玻璃上很容易檢索到。利用簡單的計算機程序就可以獲取，并將其作為一種假的身份信息發(fā)送到SiriusXM的服務(wù)器上，騙取汽車相信他是真正的車主。然后，該程序?qū)⒁骃iriusXM調(diào)出儲存在汽車中的個人數(shù)據(jù)，打開點火裝置或執(zhí)行其他功能。

庫里說，對本田的謳歌系列和日產(chǎn)的英菲尼迪車型進行的解鎖黑客測試表明，這兩個品牌的車型也受到了影響。SiriusXM證實，在庫里的團隊向該公司發(fā)出警報后的24小時內(nèi)，該缺陷已經(jīng)得到解決。本田表示，它沒有看到任何黑客惡意利用該漏洞的跡象。日產(chǎn)還沒有發(fā)表評論。

這項研究不僅揭露了一個數(shù)字漏洞是如何對大量的汽車產(chǎn)生實質(zhì)影響的，還強調(diào)了從一輛車中可以檢索到多少個人數(shù)據(jù)。從汽車上收集的潛在犯罪證據(jù)有時比從智能手機上獲得的更多，而且通常安全性較差，是移民和邊境執(zhí)法人員在2022年的關(guān)注重點。

法院文件和政府記錄顯示，負責(zé)監(jiān)測墨西哥邊境的機構(gòu)在汽車黑客工具上進行了有史以來最大額的投資，稱可以從車載電腦中獲得大量寶貴的證據(jù)。與此同時，隱私倡導(dǎo)者也在發(fā)出警報稱汽車是車輪上的監(jiān)控。

在最近對墨西哥邊境附近的一輛2019年道奇Charger的搜查中，一名巡邏人員在報告中寫道，那些提供GPS、遠程控制和娛樂功能的信息娛樂系統(tǒng)對政府調(diào)查人員特別有用。它們可以提供關(guān)于嫌疑人的位置、電子郵件地址、IP地址和電話號碼的信息。它甚至可以指出賬戶用戶的心理狀態(tài)，包括對所調(diào)查的犯罪行為的了解、動機和自愿性。

該巡邏人員寫道，一個信息娛樂系統(tǒng)也可以泄露用戶的密碼。酒類、煙草、火器和爆炸物管理局（ATF）10月份在密蘇里州試圖從一輛2022年的福特F-150車上收集信息，該機構(gòu)提交的一份搜查令中也提出了同樣的觀點，并詳細說明了汽車的內(nèi)部計算機是如何被設(shè)計為存儲大量數(shù)據(jù)的，并且有可能在不接觸手機的情況下從已經(jīng)連接到汽車的手機上恢復(fù)大量信息。

根據(jù)該機構(gòu)的記錄，有超過1萬種型號的車輛由于使用了數(shù)字技術(shù)而可能受到襲擊，包括：寶馬、別克、凱迪拉克、雪佛蘭、克萊斯勒、道奇、菲亞特、福特、GMC、悍馬、Jeep、林肯、瑪莎拉蒂、奔馳、水星、龐蒂亞克、公羊、土星、豐田和大眾。

黑客或警方也可以獲得大量汽車的公共信息。網(wǎng)絡(luò)安全研究員庫里稱，汽車的VIN碼是公開的，這很可怕。他補充說：“有了VIN碼，你就可以查詢有關(guān)汽車的信息?！?/span>

為了從被扣押的汽車中獲得最有用的數(shù)據(jù)，海關(guān)和邊境保護局（CBP）以及移民海關(guān)執(zhí)法局（ICE）今年在汽車取證技術(shù)上花的錢是有史以來最多的，這些技術(shù)是由位于馬里蘭州的行業(yè)領(lǐng)導(dǎo)者Berla公司提供的。該公司的iVe工具可以為地方和聯(lián)邦執(zhí)法部門以及軍事機構(gòu)從車輛中挖掘出數(shù)據(jù)。

根據(jù)政府合同記錄，8月份CBP在iVe上花費了超過38萬美元，幾乎是其之前在2020年最大單筆采購5萬美元的8倍。ICE自2010年以來一直在購買Berla的工具和培訓(xùn)，9月份在iVe上花費了50萬美元，遠遠超過之前的20萬美元。在2022年5月的一份合同中，CBP特別要求Berla提供車輛信息提取法證工具、許可證和培訓(xùn)。

隨著警方深入研究從汽車中涌出的信息，隱私維護者感到焦慮。10月，監(jiān)督技術(shù)監(jiān)督項目（S.T.O.P.）發(fā)布了一份報告稱：“汽車收集的數(shù)據(jù)比我們的手機要詳細得多，但它們得到的法律和技術(shù)保護卻更少。”

S.T.O.P.研究主任埃萊尼·馬尼斯（Eleni Manis）說，CBP和ICE正在將汽車數(shù)據(jù)武器化。

她說：“Berla的設(shè)備使CBP和ICE能夠?qū)Τ丝偷纳钸M行全面搜索，可以輕松獲得汽車的位置記錄和最常去的地方，乘客的家庭和社會聯(lián)系人，他們的通話記錄，甚至社交媒體資料。雖然我們不知道CBP和ICE入侵了多少輛汽車，但我們知道幾乎每輛新車都有漏洞?！?/span>

本文由汽車商業(yè)評論原創(chuàng)出品

轉(zhuǎn)載或內(nèi)容合作請聯(lián)系說明

違規(guī)轉(zhuǎn)載必究