泄密隱患 特斯拉存安全漏洞可變遙控車
責編:admin |2014-07-16 16:17:14在人們對隱私問題日益關注之際,蘋果公司再度被推上了風口浪尖。日前,央視對蘋果手機可搜集記錄用戶位置的功能提出質疑,認為蘋果手機詳細記錄了用戶位置和移動軌跡,并記錄在未加密數據庫中。事實上,蘋果公司已經不止一次遭到類似質疑,此前,斯諾登事件發生,蘋果、谷歌等公司就被曝存在泄露用戶隱私的行為。
無獨有偶,就在蘋果手機再度遭到質疑之際,風靡全球的特斯拉汽車也首度被曝存在安全漏洞。7月15日,360公司公開表示,發現特斯拉汽車應用程序流程存在設計缺陷,攻擊者利用這個漏洞,可遠程控制車輛,實現開鎖、鳴笛、閃燈、開啟天窗等操作。
位置記錄功能成為雙刃劍
蘋果手機的大量內置功能是其用戶體驗超出對手的重要構成,不過,這些體驗也不可避免的存在著另一面。央視節目指出,在蘋果手機“設置-隱私-定位服務-系統服務“下面,有一項默認開啟的“常去地點“的功能,該功能不僅記錄用戶常去的地點名稱,還詳細記錄用戶在這個地點停留的時刻及次數。
中國信息安全測評中心工程師王嘉捷現場演示并指出,該文件記錄的位置信息精確到了小數點后8位,更為關鍵的是,該文件也并未加密,是以明文形式放置在一個隱藏較深的位置,故存在泄露隱私的風險。值得一提的是,即使用戶關閉了“常去地點“功能,后臺數據庫文件依舊會記錄這些信息。
實際上,蘋果公司已不止一次因類似問題遭到指責。2011年,韓國2.76萬用戶就曾對蘋果總部、蘋果韓國分公司發起訴訟,稱其通過手機周邊的無線網絡收集用戶位置信息。最后,因違反韓國《位置信息保護法》,蘋果公司被處以300萬韓元罰款。
對于央視的報道,蘋果公司回應稱,“常去地點“通過“加密“后存儲于用戶個人設備上,并不備份于iTunes或iCloud中,蘋果從不獲取或了解某個用戶的“常去地點“信息,并且謹防任何應用對其進行訪問。“此外,對于協助相關機構收集用戶信息的指責,蘋果公司稱,“從未與任何國家的任何政府機構就任何產品或服務建立過所謂的‘后門’。“
對于蘋果內置的“常去地點“功能,360安全專家陳先生接受《證券日報》采訪時確認,“蘋果手機中的‘常去地點’功能,是蘋果公司為了提高GPS定位以及相關服務的準確性以及快速性加入的一個功能,屬于系統服務。“
360安全衛士緊急升級
不過,即便“常去地點“是一個有用的服務,但這也引發了不少用戶的擔憂。為此,在央視對該功能曝光后,360公司隨即對iOS版360安全衛士進行了升級。在最新版本中,360在全球首家實現了一鍵清除“常去地點“中的隱私信息。用戶可以通過“一鍵清理“功能,把“常去地點“、“搜索記錄文件“等隱私信息徹底清除。“我們的原理是調用系統接口,因此可以一鍵清除常去地點的數據信息“,陳先生表示。
除此之外,新增的軟件隱藏功能可把手機中不想讓人知道的軟件藏起來,守住用戶的“小秘密“。而對于蘋果手機保存通話記錄存在條數限制的問題,也可通過新版本中新增的解除系統通話記錄條數限制保存更多通話記錄。
對于360公司的及時“救場“,截至目前,蘋果公司尚未表態。
隱私泄露風險防不勝防
盡管“蘋果手機 360安全衛士“的組合,在很大程度上可以大大降低隱私泄露的風險,但在移動互聯網時代,隱私泄露依然是防不勝防。哪怕屏蔽蘋果手機的“常去地點“功能,也依舊存在泄露隱私的巨大風險。現實情況是,手機中很多APP的軟件用戶使用協議中,都會詢問用戶是否同意提供地理位置,而其中某些APP就存在著泄露用戶隱私的風險,尤為關鍵的是,用戶很難發現他們的暗中行為。
此外,在淘寶網等網站上,還有不少商鋪售賣“定位追蹤器“,用戶使用“追蹤定位器“,購買者可通過手機、電腦、微信、短信等,對目標(人、車輛或其它物體)進行實時監控定位,包括經緯度、運動方向、速度、停留時間等等。“定位追蹤器是利用手機GPS和陀螺儀模塊,取得用戶信息上傳后臺服務器,然后再利用網頁,短信,微信等下發,這是一個惡意應用“,360安全專家陳先生指出,由于該裝置體積很小,在充電寶、保溫杯、鑰匙鏈、車用裝飾掛件中都可植入。
法律人士指出,這類追蹤定位器材雖與手機定位功能在技術原理上相似,但在安裝、使用流程上與手機定位功能有很大區別,且法律也明確規定,其生產、銷售和使用均屬于違法
特斯拉被曝存在安全漏洞
應該說,蘋果公司在安全、隱私方面屢遭到指責已不足為奇,但作為一款新能源汽車,特斯拉則迎來了首次在安全漏洞方面的曝光。7月15日,360公司稱,首次發現特斯拉應用程序安全隱患,攻擊者可遠程控制車輛,包括遠程開鎖、鳴笛、閃燈、開啟天窗等。360公司表示,已于將相關的漏洞細節和解決方案建議正式提交給特斯拉,并愿意對特斯拉修復相關漏洞提供技術支持。
360安全專家表示,針對目前的隱患的臨時處理措施是,特斯拉車主在設置中,關閉遠程訪問開關即可有效避免潛在危害的發生。
據悉,在明日召開的SyScan360大會上,360公司安全團隊將會對該漏洞做現場講述,為現場觀眾重新漏洞過程。
對此,特斯拉公司回應稱,公司致力于與安全研究人員合作,以負責任的態度驗證、重現、應對和修復報告中的漏洞。