GPS化身老大哥的眼線:美國產業報告曝中國定位系統安全漏洞

聯合新聞網 吳介聲
美國知名資訊安全公司近期發布報告指出,中國製造的一款汽車GPS(全球衛星定位系統...

美國知名資訊安全公司近期發布報告指出,中國製造的一款汽車GPS(全球衛星定位系統)有嚴重安全漏洞,威脅行車、供應鏈、個人生活甚至國家安全。這款風行全球的GPS已經普及169個國家,使用者多達一百五十萬個人或者企業。

《美國之音》7月21日報導,位於美國波士頓的資訊安全與評級公司BitSight於7月19日指出,中國深圳米可達斯電子科技公司(MiCODUS)所製造型號MV720的GPS中,至少存在六個嚴重缺陷,這些缺陷可能讓車輛被監控,在行駛中被切斷油氣供應,被控制行駛方向,甚至遭「攻擊者」遠端操控狹持。BitSight呼籲使用者在米可達斯的解決方案出爐之前,應該移除裝置。

根據2020年底一則在台灣資安展覽訊息,BitSight為美國安全評級標準,與多國政府合作,藉由安全評級分析協助管理國家網路風險,大規模識別資安漏洞、模擬系統性風險以降低國家級事件可能性,並且衡量政策效能。全球38個國家與地區已經使用BitSight解決方案來監控管理關鍵國家基礎設施的網路風險,約達即全球五分之一的政府,包括比利時、巴西、德國、冰島、荷蘭、西班牙及美國。

GPS安全漏洞備受忽視

BitSight指出,GPS通常被用於監控車輛,主為安全與防竊,可以收集車輛位置數據,監測司機行為和燃料使用狀況,甚至可以透過遠端遙控切斷燃料或警報,鎖定或解鎖車門等等。然而GPS的安全漏洞也會導致被跟蹤與遠端操控,BitSight本專案首席研究員翁貝里諾(Pedro Umbelino)表示甚至可能被威脅支付加密貨幣贖金,強調「不幸的是,這些安全漏洞很容易被利用。」

BitSight雖未列出該GPS主要用戶名單,但指出用戶包括一家排名《財富》雜誌50強的能源公司和航空公司、西歐某國政府,以及南美和東歐兩個國家軍方,看來茲事體大。

報告發布當日,美國國土安全部所屬網路安全和基礎設施安全局(CISA)也對此現象發出警告,表達高度擔憂。BitSight表示從去年9月起,開始與米可達斯討論此GPS安全問題,甚至今年4月底CISA也介入調查,但是米可達斯回應消極,溝通無效。

BitSight雖未列出該GPS主要用戶名單,但指出用戶包括一家排名《財富》雜誌...

《美國之音》指出,米可達斯公司相關負責人李奧(Leo)7月20日以Skype回應,去年有自稱代表BitSight人士發電郵要討論安全漏洞問題,但是他以為是垃圾郵件並未重視,表示如果真有漏洞,會去查漏補缺。

米可達斯的GPS安全漏洞恐怕只是中國電子裝置安全問題的冰山一角,2019年9月台灣資訊科技產業媒體iThome報導,著名防毒軟體公司艾維斯特的Avast Threat Labs曾經發現深圳叁陸伍物聯科技有限公司(Shenzhen i365 Tech)生產的GPS,網站登入機制有安全漏洞,導致用戶帳號與通訊內容被盜,或者洩漏位置。

當時Avast Threat Labs研究人員發現,叁陸伍物聯科技近三十款用於追蹤兒童、寵物位置與照料長輩的GPS有許多安全漏洞,而全球用戶竟多達六十萬。研究人員發現產品漏洞後,於6月底通知相關企業,但經過兩個月未有回應,因而揭露消息。

賣得好比安全重要得多?

不久之後2019年12月底,中國媒體《電子技術設計》(EDN China)引述《DeepTech深科技》報導,指稱包括Avast、Techcrunch、Pen Test Partners、Rapid7等外籍媒體和國際安全軟體公司,相繼揭露多家中國兒童智慧手錶多有安全漏洞問題,至少涉及約四千七百萬部,佩戴者即時GPS位置、語音通話等數據有遭竊之虞。被點名的企業皆來自深圳,包括前述的叁陸伍物聯科技。

中國兒童智慧手錶的GPS安全問題,也許是中國便宜電子產品資安問題氾濫的縮影。《電子技術設計》指出,全球兒童智慧手錶大概有九成來自深圳,很多幾乎沒有技術門檻,或由劣質甚至二手零件拼裝,堪稱地攤貨,由於技術團隊能力很低,所謂數據安全無從談起,只有極少數品牌與產品有能力維持品質與安全。

中國兒童智慧手錶的GPS安全問題,也許是中國便宜電子產品資安問題氾濫的縮影。圖非...

中共當局於2017年公告實施中國《國家情報法》,規定「任何組織和公民都應當依法支持、協助和配合國家情報工作,保守所知悉的國家情報工作秘密。」

此後,中共當局更堂而皇之「依法」掌控全國所有企業數據,「魔爪」甚至伸到國際市場。

對中共而言,數據安全的需求遠不如數位監控的需求,數據安全的標準取決於是否影響中共政權安全,而非國際安全標準。而今資訊數據不論如何洩露如何被蒐集,幾乎都逃不過中共的監管與索求,所謂資訊安全對中共而言恐怕已經不是敏感問題,只要不造反,對產業就有灰色空間。

另一方面,由於產業競爭紊亂,市場弊病難以根除,大量廠商在紅海中追逐利潤,難以顧及國際數據安全標準與成本。回歸現實,中國製GPS普遍欠缺安全條件,要符合國際安全標準恐怕只是苛求。

由上可見,要寄望中國當局解決「有意無意」累積的中國電子產品資安問題,無疑是緣木求魚,用戶除了多關心產業動態以求自保,恐怕也只能多敲木魚自求多福了。

要寄望中國當局解決「有意無意」累積的中國電子產品資安問題,無疑是緣木求魚,用戶除...

吳介聲

本名吳奕軍,鉅石智庫創辦人,前網路與投資高管,曾旅讀波士頓、新加坡。著...

中國 美國 資安 時事觀察 吳介聲

推薦文章

留言