GPS-трекеры, безопасность и конфиденциальность потребителей

Урок важности анализа угроз Интернета вещей и тестирования безопасности

Независимо от того, являетесь ли вы потребителем или владельцем бизнеса, кибербезопасность в целом и безопасность GPS-трекеров в частности становятся с каждым днем ​​все более важными. Это большая проблема. Фактически, в национальном опросе, проведенном ранее в этом году, 70% потребителей заявили, что они обеспокоены тем, что их личные данные могут быть раскрыты не тем людям. В то же время большинство нынешних и будущих владельцев транспортных средств обеспокоены проблемой угона автомобилей – и это вполне обоснованно, учитывая тенденцию к увеличению количества угнанных легковых и грузовых автомобилей за последний год (увеличение на 9.2 процента по сравнению с предыдущим годом). по данным ФБР).

Автодилеры превращают эти две проблемы в возможности для бизнеса, предоставляя решения, которые позволяют потребителям быстро вернуть украденные автомобили, в то же время более эффективно управляя своими партиями, обеспечивая большую видимость своих запасов, а также получая дополнительный доход для дилерского центра за счет продажи этих устройств. Но не все решения по восстановлению кражи обеспечивают одинаковый уровень защиты потребительских данных и конфиденциальности. 

Все ли GPS-трекеры защищают конфиденциальность потребителей?

Когда мы исследовали решения для отслеживания на основе GPS, широко используемые в автомобильной промышленности США, и их функции безопасности, мы обнаружили, что некоторые из них тщательно разработаны для защиты устройств и их данных от взлома, в то время как другие имеют очень слабую защиту или вообще не имеют никакой защиты. Почему это имеет значение? С помощью плохо защищенного трекера воры могут легко определить местонахождение автомобиля, что позволит им узнать, где живет владелец, где он работает и даже где его дети ходят в школу. А автодилеры, продающие небезопасные решения, рискуют навлечь на себя гнев своих клиентов.

Стремясь получить представление о некоторых общих мерах безопасности, которые могут иметь (или отсутствовать) решения GPS-слежения, мы решили подробно рассмотреть два различных решения для отслеживания: одно было традиционным проводным решением, а другое - традиционным проводным решением. другой — беспроводное решение следующего поколения с батарейным питанием. 

Плохая новость: Решение А: проводной GPS

Решение А обычно устанавливается техническим специалистом дилерского центра, который подключает его к аккумулятору автомобиля. Когда мы исследовали это решение, мы обнаружили некоторые шокирующие результаты. Нам удалось легко определить номер телефона, который устройство использовало для связи с сотовой сетью. Мы могли бы оттуда заставить его сообщить нам свое точное местоположение, просто отправив ему текстовое сообщение, содержащее командные фразы, которые мы нашли опубликованными в Интернете. которые были интерпретированы как инструкции. Это само по себе представляет собой нарушение конфиденциальности потребителей и подвергает людей таким опасностям, как преследование, воровство и другие преступления. Если бы система была спроектирована с учетом требований безопасности, мы не смогли бы получить эту информацию.

Мы также обнаружили, что при дальнейших манипуляциях можно заставить трекер отправлять ложное местоположение. Можно даже полностью отключить трекер, удаленно вмешавшись в его программное обеспечение.

Это означает, что владелец автомобиля и сотрудники полиции не смогут отследить украденный автомобиль. Или, что еще хуже, воры могут послать власти искать в неправильном направлении.  

Для потребителей, использующих плохо защищенные устройства, проблемы, связанные с этими угрозами, очевидны. Если вы являетесь автодилером, продающим эти устройства своим клиентам, вы рискуете плохим пиаром, снижением доходов, потерей доверия и, возможно, даже проблемами с ответственностью, если проданное вами решение окажется скомпрометировано. 

Все эти проблемы можно было бы предотвратить, работая с беспристрастным сторонним экспертом для оценки безопасности устройства и комплексного решения, позволяющего выявить проблемы до выпуска продукта, защищая долгосрочный доход и репутация производителя и его продукции.

Но, к счастью, есть и хорошие новости!

Хорошие новости: Решение Б — устройство беспроводного слежения

Наше тестирование Решения B — беспроводного устройства слежения следующего поколения — не выявило НИ ОДНОГО из подобных недостатков. Он успешно защитил информацию о местоположении от хакеров, позволяя фактическому владельцу устройства получить доступ к местонахождению своего автомобиля только с помощью усовершенствованного шифрования данных. Это устройство также имело надежную защиту, такую ​​как аутентификация пользователя, чтобы гарантировать, что никто не сможет удаленно отключить или вмешаться в работу устройства с помощью беспроводной загрузки и команд; это гарантировало, что он всегда сможет сообщить о правильном местонахождении автомобиля. Для потребителей это означает, что их конфиденциальность и безопасность защищены. Это также повышает вероятность того, что они смогут быстрее вернуть свою машину, если ее украдут. Для автодилеров это означает довольных клиентов и отсутствие ответственности за взломанные устройства.

Как выбрать, какой продукт купить или продать? 

Будь то устройство GPS или любое другое устройство Интернета вещей, каждый должен задать себе три ключевых вопроса о любом устройстве Интернета вещей, прежде чем решит купить или продать его: 

• Конфиденциальность: Разработано ли устройство с учетом конфиденциальности данных? Защищены ли данные о местоположении с помощью технологии шифрования?
• Степень защиты: Что было сделано для защиты устройства от хакеров, чтобы его нельзя было подделать или отключить? Подписаны и аутентифицированы новые загрузки встроенного ПО. Аутентифицированы ли удаленные команды для устройства?
• Независимая проверка: Привлекает ли компания, разработавшая устройство, внутренних или внешних экспертов по безопасности для проверки сквозной безопасности решения? 

Нужна помощь, чтобы обеспечить безопасность вашего решения?

Не каждая компания обладает собственными навыками для достижения необходимого уровня безопасности IoT (или даже для определения того, от каких угроз им наиболее важно защищаться). В этом случае разумнее всего обратиться за помощью к сторонней компании, специализирующейся на безопасности, которая может помочь с такими действиями, как оценка угроз, проектирование архитектуры безопасности и оценка безопасности вашего конечного продукта перед его выходом на рынок. Исправление ошибки безопасности после запуска может стоить до 80 раз дороже, чем обнаружение той же ошибки на этапе проектирования, и это может означать разницу между успехом или провалом продукта и даже компании.