BlackVue行车记录仪可让您跟踪其他用户;该公司表示这是一个功能,而不是一个错误
网络安全研究员安迪·吉尔(Andy Gill)发现,BlackVue仪表板摄像头(行车记录仪)会从车内公开广播您的确切GPS位置。该公司声称这不是一个漏洞,而是一个功能,人们选择分享他们的私人信息。
BlackVue是行车记录仪知名制造商,用于连续记录通过汽车前挡风玻璃的视图。
吉尔在iOS和Android系统上测试了BlackVue应用程序,并遇到了一些令人不快的发现。
他在推特上说:“默认情况下,它广播您的确切GPS位置,它似乎从您的车内,未经许可,在互联网上公开!这是来自移动应用程序的快速视频。从阅读中可以看出,这是一个功能,而不是一个错误,而且似乎之前已经报道过。”
在移动应用程序的这段视频中,您可以看到行车记录仪的所有者散布在整个地图上(特别是美国和欧洲),这意味着他们正在公开广播他们的GPS位置。地图上的用户数量相对较少。例如,在法国,只有25个用户在广播他们的位置。从地图中,您可以假设它没有公开显示所有 BlackVue 用户的位置。
然而,这张地图让吉尔怀疑这些用户是故意广播了他们的位置,还是不知道这个产品的功能特征。
吉尔把他的发现带到Twitter上讨论。从他的推文中可以看出,通过下载该应用程序并注册一个不需要电子邮件验证的免费帐户,您可以点击随机行车记录仪并跟踪汽车的速度和位置。
吉尔指出:“更糟糕的是,到目前为止,我发现的大多数汽车要么在摄像头中,要么在汽车型号中,存在reg牌,这使得汽车的购物清单很容易被盗,如果有麦克风,该应用程序允许在某些摄像头上播放音频。”
BlackVue并不认为这是一个错误,而是一个可以轻松禁用的功能。该公司在Twitter上发表了15条评论,解决了吉尔的担忧。
BlackVue说:“我们想澄清的是,在公共世界地图上共享GPS,视频或音频数据或行车记录仪名称只能选择加入。这意味着您可以假设您在世界地图上看到的任何摄像机都是由其用户故意共享的。请注意,您在地图上看到的摄像头只占BlackVue Cloud活跃用户总数的一小部分。”
该公司承认,它具有任何人都可以访问的世界地图功能,并强调可以使用世界地图进行跟踪的用户必须选择自己可见。
该公司还表示:“我们想明确表示,用户极不可能意外地分享其相机的位置,名称和视频。用户需要注册并在我们这里创建一个帐户来注册相机。”
将相机注册到帐户后,BlackVue应用程序将询问用户是否允许GPS访问。这样做的目的是让用户在通过云访问相机时查看相机的速度和位置。
在应用程序的“隐私设置”菜单中,此设置被标记为“私人”,它就不会使相机的位置或视频在世界地图上可用。用户也可以选择“公开”共享位置、实时视频、实时音频和行车记录仪名称的数据以显示在世界地图上。禁用共享位置意味着您的相机不会出现在BlackVue应用程序内的世界地图上。
BlackVue声称默认情况下所有这些功能都是禁用的。
但是,从吉尔的测试结果来看,GPS访问似乎默认处于启用状态。
BlackVue强调,默认情况下,所有摄像头都设置为私人。“私人设置”允许GPS访问旨在让行车记录仪的所有者控制是否在应用程序中显示自己的行车记录仪的位置。打开该设置不会使相机的位置在世界地图上可见。
然而,BlackVue承认某些信息可能具有误导性,并表示将改变措辞。(本文出自SCA安全通信联盟,转载请注明出处。)