Theo dõi xe GPS, Bảo mật và Quyền riêng tư của Người tiêu dùng

Bài học về tầm quan trọng của phân tích mối đe dọa IoT và kiểm tra bảo mật

Cho dù bạn là người tiêu dùng hay chủ doanh nghiệp, an ninh mạng nói chung và bảo mật theo dõi GPS nói riêng đang ngày càng trở nên quan trọng hơn mỗi ngày. Đó là một mối quan tâm lớn. Trên thực tế, trong một cuộc khảo sát quốc gia được thực hiện vào đầu năm nay, 70% người tiêu dùng cho biết họ lo ngại về việc dữ liệu cá nhân của họ bị tiết lộ cho sai người. Đồng thời, hầu hết các chủ sở hữu phương tiện hiện tại và sắp trở thành chủ sở hữu xe mới đều lo lắng về nạn trộm xe - chính đáng là như vậy, do xu hướng gia tăng của xe ô tô và xe tải bị mất cắp trong năm qua (tăng 9.2% so với năm trước, theo FBI).

Các đại lý ô tô đang biến hai mối quan tâm này thành cơ hội kinh doanh bằng cách cung cấp các giải pháp cho phép khôi phục nhanh chóng các phương tiện bị đánh cắp cho người tiêu dùng, đồng thời quản lý lô hàng của họ hiệu quả hơn với khả năng hiển thị tốt hơn về khoảng không quảng cáo của họ cũng như tạo ra doanh thu gia tăng cho đại lý thông qua việc bán các thiết bị này. Nhưng không phải tất cả các giải pháp khôi phục hành vi trộm cắp đều cung cấp cùng một mức độ bảo vệ liên quan đến dữ liệu và quyền riêng tư của người tiêu dùng. 

Tất cả các thiết bị theo dõi GPS có bảo vệ quyền riêng tư của người tiêu dùng không?

Khi chúng tôi điều tra các giải pháp theo dõi dựa trên GPS thường được sử dụng trong ngành công nghiệp ô tô Hoa Kỳ và các tính năng bảo mật của chúng, chúng tôi nhận thấy rằng một số giải pháp trong số đó được thiết kế cẩn thận để bảo vệ thiết bị và dữ liệu của chúng khỏi bị hack, trong khi những giải pháp khác có rất ít hoặc hoàn toàn không bảo vệ. Vì sao vấn đề này? Với thiết bị theo dõi được bảo vệ kém, những tên trộm có thể dễ dàng tìm thấy vị trí của chiếc xe, cho phép chúng phát hiện ra nơi chủ sở hữu sống, nơi họ làm việc và thậm chí cả nơi con họ đi học. Và các đại lý bán xe bán các giải pháp không an toàn có nguy cơ hứng chịu sự phẫn nộ của khách hàng.

Trong nỗ lực tìm hiểu sâu hơn về một số biện pháp bảo mật phổ biến mà giải pháp theo dõi GPS có thể có (hoặc còn thiếu), chúng tôi quyết định xem xét chuyên sâu hai giải pháp theo dõi khác nhau: một là giải pháp có dây truyền thống và còn lại là giải pháp không dây, chạy bằng pin, thế hệ tiếp theo. 

Tin xấu: Giải pháp A, GPS có dây cứng

Giải pháp A thường được lắp đặt bởi kỹ thuật viên của đại lý, người kết nối nó với ắc quy của xe. Khi chúng tôi xem xét giải pháp này, chúng tôi đã phát hiện ra một số phát hiện gây sốc. Chúng tôi có thể dễ dàng xác định số điện thoại mà thiết bị sử dụng để liên lạc với mạng di động. Từ đó, chúng tôi có thể yêu cầu nó cung cấp cho chúng tôi vị trí chính xác của nó chỉ đơn giản bằng cách gửi cho nó một tin nhắn văn bản chứa các cụm từ lệnh mà chúng tôi tìm thấy được xuất bản trên internet, được hiểu là hướng dẫn. Bản thân điều này thể hiện sự vi phạm quyền riêng tư của người tiêu dùng và khiến mọi người phải đối mặt với những nguy hiểm như rình rập, trộm cắp và các tội phạm khác. Nếu hệ thống được thiết kế với mục đích bảo mật, chúng tôi đã không thể lấy được thông tin đó.

Chúng tôi cũng phát hiện ra rằng với thao tác sâu hơn, có thể khiến trình theo dõi gửi ra một vị trí sai. Người ta thậm chí có thể vô hiệu hóa hoàn toàn trình theo dõi bằng cách can thiệp từ xa vào phần mềm của nó.

Điều đó có nghĩa là chủ xe và các nhân viên cảnh sát sẽ không có cách nào để theo dõi chiếc xe khi bị trộm. Hoặc thậm chí tệ hơn, những tên trộm có thể gửi nhà chức trách tìm kiếm sai hướng.  

Đối với người tiêu dùng sử dụng các thiết bị được bảo mật kém, các vấn đề liên quan đến các mối đe dọa này là hiển nhiên. Nếu bạn là một đại lý ô tô bán các thiết bị này cho khách hàng của mình, bạn có nguy cơ bị PR xấu, giảm doanh thu, mất lòng tin và thậm chí có thể là các vấn đề về trách nhiệm pháp lý nếu giải pháp bạn bán bị xâm phạm. 

Tất cả những vấn đề này có thể được ngăn chặn bằng cách làm việc với một chuyên gia bên thứ ba công bằng để đánh giá tính bảo mật của thiết bị và giải pháp đầu cuối nhằm xác định các vấn đề trước khi sản phẩm được phát hành, bảo vệ doanh thu lâu dài và danh tiếng của nhà sản xuất và sản phẩm của nó.

Nhưng may mắn thay cũng có một tin tốt!

Tin tốt lành: Giải pháp B, Thiết bị Theo dõi Không dây

Thử nghiệm của chúng tôi đối với Giải pháp B - một thiết bị theo dõi không dây thế hệ tiếp theo - cho thấy KHÔNG CÓ những điểm yếu tương tự. Nó đã bảo vệ thành công thông tin vị trí khỏi tin tặc, chỉ cho phép chủ sở hữu thực sự của thiết bị truy cập vị trí ô tô của họ bằng cách sử dụng mã hóa dữ liệu nâng cao. Thiết bị này cũng có các biện pháp bảo vệ mạnh mẽ như xác thực người dùng tại chỗ để đảm bảo không ai có thể vô hiệu hóa hoặc giả mạo thiết bị từ xa bằng cách sử dụng các lệnh và tải xuống qua mạng; điều này đảm bảo rằng nó luôn có sẵn để báo cáo vị trí chính xác của chiếc xe. Đối với người tiêu dùng, điều này có nghĩa là quyền riêng tư và sự an toàn của họ được bảo vệ. Nó cũng cải thiện cơ hội họ có thể lấy lại xe nhanh hơn nếu nó bị đánh cắp. Đối với các đại lý ô tô, điều đó có nghĩa là khách hàng hài lòng và không có vấn đề trách nhiệm pháp lý nào do các thiết bị bị xâm phạm.

Làm thế nào để Chọn Sản phẩm nào để Mua hoặc Bán? 

Cho dù đó là thiết bị GPS hay bất kỳ thiết bị IoT nào khác, có ba câu hỏi chính mà mọi người nên hỏi về bất kỳ thiết bị IoT nào trước khi họ chọn mua hoặc bán nó: 

• Bảo mật: Thiết bị có được thiết kế với mục đích bảo mật dữ liệu không? Dữ liệu vị trí có được bảo vệ bằng công nghệ mã hóa không?
• Sự bảo vệ: Điều gì đã được thực hiện để bảo vệ thiết bị khỏi tin tặc để thiết bị không thể bị giả mạo hoặc vô hiệu hóa? Các bản tải xuống chương trình cơ sở mới đã được ký và xác thực Các lệnh từ xa tới thiết bị có được xác thực không?
• Xác minh độc lập: Công ty thiết kế thiết bị có sử dụng các chuyên gia bảo mật nội bộ hoặc bên ngoài để kiểm tra tính bảo mật đầu cuối của giải pháp không? 

Cần trợ giúp để đảm bảo giải pháp của bạn là an toàn?

Không phải công ty nào cũng có các kỹ năng nội bộ để đạt được mức độ bảo mật IoT mà họ yêu cầu (hoặc thậm chí xác định các mối đe dọa nào phù hợp nhất để họ bảo vệ chống lại). Trong trường hợp đó, điều thông minh cần làm là tìm sự trợ giúp từ một công ty bên ngoài chuyên về bảo mật, công ty này có thể giúp thực hiện các hoạt động như đánh giá mối đe dọa, thiết kế kiến ​​trúc bảo mật và đánh giá bảo mật cho sản phẩm cuối cùng của bạn trước khi đưa ra thị trường. Việc sửa một lỗ hổng bảo mật sau khi ra mắt có thể tốn gấp 80 lần so với việc sửa lỗi cùng một lỗ hổng trong giai đoạn thiết kế, và điều đó có nghĩa là sự khác biệt giữa thành công hay thất bại đối với sản phẩm và thậm chí cả công ty.