联网汽车存储了如此多的数据,以至于它们可能会像滚动的监控设备一样。现在,研究人员正在披露一个新的安全漏洞,该漏洞使他们能够通过斯巴鲁的Starlink技术访问敏感数据。虽然斯巴鲁及时解决了这个问题,但这起事件引发了令人不安的问题,即在联网汽车的时代,你的私人数据到底有多隐私。
更多:大规模大众数据泄露暴露了80万电动汽车车主的活动,从家里到妓院
萨姆·库里是一名安全研究员,你可能还记得过去的汽车黑客攻击事件,他和他的团队在2024年11月测试他母亲的2023年斯巴鲁Impreza时发现了这个漏洞,这辆车是他前一年为她买的。该漏洞允许他们访问车辆的完整位置历史--不仅是单个时刻,而且是整个一年。
库里在接受《连线》采访时表示,这些信息非常详细,以至于库里可以准确地指出她去过的医生,她朋友的家,甚至她每次去教堂时使用的确切停车位。
库里在接受该杂志采访时表示:“你可以检索到这辆车至少一年的位置历史,在那里它会被精确地定位,有时一天会被检测好几次。”“无论是对妻子不忠,还是堕胎,抑或是某个政治团体的成员,你都可以利用这一点来对付某个人。”
但情况变得更糟--更糟。
库里和同事舒伯汉姆·沙阿说,他们发现斯巴鲁为公司员工设计的网站存在漏洞,该网站使他们能够接管员工的账户。这使他们能够控制车辆的Starlink功能,并获取大量个人信息,包括客户的姓名、紧急联系人、家庭地址,甚至车辆的PIN。他们并没有止步于此,因为他们还可以远程解锁、启动汽车,并浏览其通话记录。是的,就是那么糟糕。
一个足够大的安全洞,可以开车通过
黑客不需要超级计算机或科幻小工具就能做到这一点。他们所需要的只是受害者的姓氏以及车牌、车主的邮政编码、电话号码或电子邮件地址。黑客会将这些信息放入一个为斯巴鲁员工设计的网站,以帮助Starlink用户。他们通过一系列行动获得了对该网站的访问权限,这些行动是基于理论上的,然后证实了网站本身的安全漏洞。
值得斯巴鲁称赞的是,这个漏洞已经不存在了。最重要的是,这家汽车制造商在得知情况后不到24小时就解决了这个问题。黑客表示,他们在晚上11点54分向斯巴鲁发出了这个问题的警报。11月20日。下午4点前。21日,漏洞被修复,黑客不再奏效。
您可以信任谁来管理您的数据?
与此同时,所有这些都带来了一个更大的问题,那就是私人数据似乎不再是私人的。正如萨姆·库里在他的网站上指出的那样,即使没有不良行为者,仍有很多人--即员工--可以访问这些数据。
库里写道:“汽车行业的独特之处在于,一名来自德克萨斯州的18岁员工可以查询加州车辆的账单信息,而这并不会真正引发任何警钟。”这是他们日常工作的一部分。员工都能接触到大量的个人信息,而整个事情都依赖于信任。
加州消费者联合会的执行董事罗伯特·赫雷尔在接受《连线》采访时也表达了同样的担忧:“似乎斯巴鲁有一群员工掌握着数量惊人的详细信息。人们被跟踪的方式,他们并不知道正在发生的事情。
而且不仅仅是斯巴鲁,因为这种漏洞和数据访问可能是一个全行业的问题。目前,除了在购买互联汽车时完全选择退出数据收集之外,没有明确的解决方案。当然,这样做时您会失去一些功能,但让窥探者远离您的业务可能是值得的。
还木有评论哦,快来抢沙发吧~