GPS 车辆追踪器、安全和消费者隐私

物联网威胁分析和安全测试重要性的一课

无论您是消费者还是企业主，一般的网络安全和特别是 GPS 跟踪器安全每天都变得越来越重要。 这是一个大问题。 事实上，在今年早些时候进行的一项全国性调查中，70% 的消费者表示他们担心自己的个人数据被泄露给错误的人。 与此同时，大多数现有的和即将成为新车主的车主都担心汽车被盗——这是有道理的，因为过去一年汽车和卡车被盗的趋势呈上升趋势（比前一年增加了 9.2%，据联邦调查局称）。

汽车经销商正在将这两个问题转化为商机，提供 能够为消费者快速找回被盗车辆的解决方案，同时更有效地管理他们的批次，提高库存可见性，并通过销售这些设备为经销商创造增量收入。 但并非所有盗窃恢复解决方案都提供相同级别的消费者数据和隐私保护。 

所有 GPS 追踪器都保护消费者隐私吗？

当我们调查美国汽车行业常用的基于 GPS 的跟踪解决方案及其安全功能时，我们发现其中一些经过精心设计以保护设备及其数据免受黑客攻击，而另一些则几乎没有或根本没有保护。 为什么这很重要？ 如果追踪器保护不佳，窃贼可以轻松找到汽车的位置，从而发现车主住在哪里、工作在哪里，甚至孩子在哪里上学。 销售不安全解决方案的汽车经销商冒着招致客户愤怒的风险。

为了深入了解 GPS 跟踪解决方案可能具有（或严重缺乏）的一些常见安全措施，我们决定深入研究两种不同的跟踪解决方案：一种是传统的有线解决方案，另一种是另一种是下一代电池供电的无线解决方案。 

坏消息：解决方案 A，硬接线 GPS

解决方案 A 通常由经销商技术人员安装，并将其连接到车辆的电池。 当我们检查这个解决方案时，我们发现了一些令人震惊的发现。 我们能够轻松确定设备用于与蜂窝网络通信的电话号码。 我们可以从那里获得它的确切位置，只需向它发送包含我们在互联网上发现的命令短语的文本消息， 被解释为指令. 这本身就代表了对消费者隐私的侵犯，并使人们面临跟踪、盗窃和其他犯罪等危险。 如果系统的设计考虑到了安全性，我们就不应该能够获得这些信息。

我们还发现，通过进一步的操作，有可能让跟踪器发送错误的位置。 人们甚至可以通过远程篡改其软件来完全禁用跟踪器。

这意味着车主和警察在被盗时将无法追踪汽车。 或者更糟糕的是，小偷可能会让当局朝错误的方向进行搜索。  

对于使用安全性较差的设备的消费者来说，与这些威胁相关的问题是显而易见的。 如果您是向客户销售这些设备的汽车经销商，如果您销售的解决方案受到损害，您可能会面临公关不良、收入减少、失去信任甚至可能出现责任问题的风险。 

所有这些问题都可以通过与公正的第三方专家合作来评估设备和端到端解决方案的安全性，以便在产品发布之前发现问题，从而保护长期收入和制造商及其产品的声誉。

但值得庆幸的是，还有好消息！

好消息：解决方案 B，无线跟踪设备

我们对解决方案 B（下一代无线跟踪设备）的测试没有发现相同的弱点。 它成功地保护了位置信息免受黑客攻击，仅允许设备的实际所有者使用高级数据加密来访问他们汽车的位置。 该设备还具有强大的保护措施，例如用户身份验证，以确保没有人可以使用无线下载和命令远程禁用或篡改设备； 这确保了始终可以报告车辆的正确位置。 对于消费者来说，这意味着他们的隐私和安全受到保护。 如果汽车被盗，这也提高了他们能够更快地取回汽车的机会。 对于汽车经销商而言，这意味着客户满意，并且不会因设备受损而产生责任问题。

如何选择购买或出售的产品？ 

无论是 GPS 设备还是任何其他物联网设备，任何人在选择购买或出售物联网设备之前都应该询问三个关键问题： 

• 隐私： 设备的设计是否考虑了数据隐私？ 位置数据是否受加密技术保护？
• 保护： 已采取哪些措施来保护设备免受黑客攻击，使其无法被篡改或禁用？ 新固件下载是否经过签名和验证 设备的远程命令是否经过验证？
• 独立验证： 设计设备的公司是否使用内部或外部安全专家来测试解决方案的端到端安全性？ 

需要帮助以确保您的解决方案安全？

并非每家公司都有内部技能来实现他们所需的物联网安全级别（甚至确定哪些威胁最适合他们防御）。 在这种情况下，明智的做法是从专门从事安全工作的外部公司那里获得帮助，这可以帮助进行威胁评估、安全架构设计和最终产品上市前的安全评估等活动。 在发布后修复安全漏洞的成本可能比在设计阶段捕获相同缺陷的成本高出 80 倍，这可能意味着产品甚至公司的成败。