Privacy4Cars公司發出警告:一種名爲CarsBlues的新型藍牙技術可能會影響到數百萬輛汽車。這種***技術利用了通過藍牙安裝在數款汽車上的信息娛樂系統的安全漏洞,它影響了將智能手機與汽車連接的用戶。
Privacy4Cars公司發現了一款可從車輛中清除PII的移動應用程序,其研究人員表示,全球可能會有數千萬輛汽車受到影響,而這僅是一個樂觀的估計,實際可能被影響的汽車數量可能更多。風險最高的情況是司機將他們的智能手機與大量租借的車輛(這些車輛被歸還後被反覆租賃)連接進行數據同步,這樣他們的數據極其可能暴露在惡意***者視野中。
“***行爲可以在幾分鐘內完成,全程只需使用廉價且容易獲得的硬件和軟件,不需要大量高難度技術知識。根據調查結果,全球範圍內將手機數據同步到汽車的用戶的隱私都有可能受到威脅。隨着評估分析進程的推進,這一數字目前持續上升至數百萬輛。”
這項***技術由Privacy4Cars創始人Andrea Amico在2018年2月發現,他隨後立即通知了汽車信息共享和分析中心(Auto-ISAC)。
Amico與Auto-ISAC爲研究***者如何從受影響成員製造的車輛中竊取PII進行合作。***者可以訪問信息中存儲的聯繫人,呼叫日誌,文本日誌,在某些情況下還可以在汽車不連接移動設備的情況下訪問文本消息。
當前製造商已經針對漏洞進行系統更新,新車型不必再遭受CarsBlues威脅。Privacy4Cars與Auto-ISAC已經完成了漏洞的(道德)披露和通知,當前致力於向大衆科普將個人信息留置在車輛系統中的風險,企業和消費者都需要主動及時刪除車輛娛樂信息系統中的個人身份信息。
Privacy4Cars公司建議,用戶在允許其他用戶使用其車輛之前,先從信息娛樂系統中刪除個人數據。該公司還敦促監管機構提出保護消費者數據的示範方法,責令供應商設計/實踐可幫助客戶刪除個人信息的系統。