BlackVue是一家擁有自己的社交網絡的行車記錄儀公司。通過在車內安裝一個小型的網際網路行車記錄儀,BlackVue用戶可以在行車記錄儀的攝像機檢測到異常事件(例如有人與停放的汽車相撞)時收到警報。客戶還可以允許其他人收聽/收看他們的攝像機拍攝的畫面,簡稱投稿,從而讓其他人「充分體驗在全世界駕駛的興奮和樂趣」
此外,他是一家韓國公司,國內也有售賣這個行車記錄儀。
然而,實際上BlackVue的APP程序可以在幾天甚至幾周內實時提取和存儲用戶的GPS位置。
這也就導致了一個雙刃劍:保護你的安全的同時威脅到了你的安全。
通常,BlackVue允許任何人創建一個帳戶,然後查看正在廣播其位置和實時供稿的攝像機地圖。默認情況下不啟用此廣播,並且用戶在設置或配置自己的攝像機時必須選擇該選項。目前來看,進入APP後,能看到全球的使用該BlackVue並開啟了社交功能的客戶,以及實時供稿的用戶。
實時供稿是啥意思?比如下面這個稿子,直接被BlackVue作為廣告進行宣傳。
瀏覽器版本過低,暫不支持視頻播放
實際上,這些車主的GPS數據是可用的,並且可以公開訪問。
這也就意味著,它可以使行車記錄儀用戶廣播他們的攝像機進行拍攝所上傳的稿件和驅動器,實際上它使人們能夠抓取並存儲全世界駕駛員的實時位置。
在整個紐約跟蹤的一名BLACKVUE用戶的位置數據的屏幕截圖。
通過對iOS版本的BlackVue應用程式進行逆向分析發現,安全研究人員可以編寫腳本來提取BlackVue用戶的GPS位置長達一周的時間,並存儲坐標和其他信息,例如用戶的唯一標識符。
一個腳本可以每隔兩分鐘收集一次在美國東半部啟用了地圖繪製的BlackVue用戶的位置數據。研究員因此收集了數十個客戶的數據。
有了這些數據,我們就可以繪製出幾個BlackVue用戶的日常活動的圖片:一個人白天開車繞著曼哈頓,也許是乘搭車司機,然後晚上去皇后區。另一位BlackVue用戶經常在布魯克林的某個街區停車之前,經常開車繞布魯克林。用戶在幾個不同的夜晚做了此事,提示這可能是車主居住或存放車輛的地方。三分之一顯示有人在南卡羅來納州各處駕駛卡車。
此外,一些客戶可能將BlackVue,作為監控員工的手段,比如一個僱主想要在他們的送貨卡車上持續跟蹤,防止員工開車摸魚。
下圖便是實時查看開車情況的功能。
用戶在遠離其明顯住所的公共場所開車時,通過訪問某人的公共實時供稿的屏幕快照。
BlackVue的Sinic表示,他們不可能在長時間內收集多個用戶的GPS坐標。在報告曝光後,他們進行了處理,而他麼程序裡面的一些API請求也停止了工作。
黑鳥為了測試一二,下載了該APP。
首先,該APP如果是在國內用,會提示選擇百度地圖
在註冊帳號後,發現需要點擊一系列隱私保護信息,不點擊用不了。
然後黑鳥直接點進去了cloud功能選項。結果出來了驚人的一幕(可能只是在我從事這個行業的人看來比較驚人)
去紐約看了看,大概就是根據上面的ID號進行的活動軌跡追蹤
目前只看見中國的中原大地上有一輛車開了這個功能
看來,研究人員進行的獲取位置和活動軌跡的思路是沒問題的。
此外,點那個小車圖標就能實時查看當前行車記錄儀的記錄影像。像下面這個人就是24小時都開著,然後連著Wifi,真有趣。
這讓黑鳥又想起了這個功能的延伸作用。
行車記錄儀XXX
不說了,買行車記錄儀去了。
PS:有興趣的可以自己抓個包,拿一下接口,這裡就不展開說了。
參考地址:
https://www.vice.com/en_us/article/wxedxb/blackvue-dashcams-users-location-tracked
上期閱讀
▲美國FBI已成功解鎖過iPhone 11 Pro機型
擴展閱讀
▲蘋果透露各國政府對其客戶數據的獲取頻次
因為威脅信息管理法即將頒布,因此我將知識星球預覽關了,有需要的趕緊掃碼進入,公開與私密情報均列位其中,信息嚴禁傳播,避免二次傷害。
點個讚,轉個發,祖國建設靠大家