近日梅賽德斯·奔馳(Mercedes-Benz)在美國的應(yīng)用程序出現(xiàn)了嚴(yán)重的安全漏洞,可以看到其他車主的個(gè)人信息。據(jù)科技媒體Techcrunch10月19日報(bào)道,有美國的梅賽德斯·奔馳的車主反映,他們用來解鎖和啟動(dòng)汽車的應(yīng)用程序(APP)錯(cuò)誤地顯示了其他車主的賬戶和車輛信息,包括可以看到姓名、最近的活動(dòng)、電話號碼等。
這一明顯的安全漏洞發(fā)生在當(dāng)?shù)貢r(shí)間10月18日晚些時(shí)候,隨后該應(yīng)用程序以“網(wǎng)站維護(hù)”的原因而下線。
根據(jù)谷歌Play的排名,已經(jīng)有超過10萬客戶安裝了這款應(yīng)用。
近年來,現(xiàn)代汽車廠商都會為旗下車型以及車主提供專屬APP,方便車主遠(yuǎn)程定位、管理汽車以及連接娛樂系統(tǒng)等。但隨著汽車聯(lián)網(wǎng)并與應(yīng)用程序相連,安全漏洞使得研究人員能夠遠(yuǎn)程劫持或跟蹤車輛,這些安全漏洞的出現(xiàn)也給車主帶來了麻煩。
一位西雅圖的車主告訴TechCrunch,他和一個(gè)朋友都是奔馳的車主,他們在各自的應(yīng)用程序中都顯示了另一位客戶的同一輛車,他們能夠看到這輛車最近的活動(dòng),包括它最近的位置,但他們無法使用應(yīng)用程序的功能跟蹤實(shí)時(shí)位置。
這位車主稱,當(dāng)他向公司反映相關(guān)情況時(shí),一名奔馳的客戶服務(wù)代表建議他立即刪除這款應(yīng)用,直到它修好。
據(jù)報(bào)道,也有車主稱,盡管可以看到其他車輛的信息,但是解鎖車輛和啟動(dòng)停止車輛的功能在應(yīng)用程序上卻不起作用,這在一定程度上限制了此次安全漏洞的影響。
目前還不清楚這一安全漏洞是如何發(fā)生的,也不清楚這個(gè)安全問題出現(xiàn)的范圍。
梅賽德斯·奔馳母公司戴姆勒(Daimler)的發(fā)言人唐娜•博蘭(Donna Boland)稱:“(上周五)有一小段時(shí)間,我們的應(yīng)用程序顯示了錯(cuò)誤的客戶數(shù)據(jù)。”
該發(fā)言人稱:“顯示的信息是緩存的信息,不是對賬戶的實(shí)時(shí)訪問,另外,財(cái)務(wù)信息都不可見,也不可能與被泄露賬戶相關(guān)的車輛進(jìn)行交互,或確定車輛的實(shí)時(shí)位置!彼a(bǔ)充說:“當(dāng)我們意識到這個(gè)問題時(shí),我們關(guān)閉了系統(tǒng),確定了這個(gè)問題并解決了它。”
今年8月,Credit Karma的移動(dòng)應(yīng)用也出現(xiàn)了類似的安全漏洞。這家信用監(jiān)控公司承認(rèn),用戶無意中看到了其他用戶的賬戶信息,包括信用卡賬戶和余額的詳細(xì)信息。盡管如此,但該公司否認(rèn)了數(shù)據(jù)泄露。