BlackVue是一家拥有自己的
社交网络
的行车记录仪公司。通过在车内安装一个小型的互联网行车记录仪,BlackVue用户可以在行车记录仪的摄像机检测到异常事件(例如有人与停放的汽车相撞)时收到警报。客户还可以允许其他人收听/收看他们的摄像机拍摄的画面,简称投稿,从而让其他人“
充分体验在全世界驾驶的兴奋和乐趣
”
此外,他是一家韩国公司,
国内
也有售卖这个行车记录仪。
然而,实际上BlackVue的APP程序可以在几天甚至几周内实时提取和存储用户的GPS位置。
这也就导致了一个双刃剑:
保护你的安全的同时威胁到了你的安全。
通常,BlackVue允许任何人创建一个帐户,然后查看正在广播其位置和实时供稿的摄像机地图。默认情况下不启用此广播,并且用户在设置或配置自己的摄像机时必须选择该选项。目前来看,进入APP后,能看到全球的使用该BlackVue并开启了社交功能的客户,以及实时供稿的用户。
实时供稿是啥意思?比如下面这个稿子,直接被BlackVue作为广告进行宣传。
实际上,这些车主的GPS数据是可用的,并且可以公开访问。
这也就意味着,它可以使行车记录仪用户广播他们的摄像机进行拍摄所上传的稿件和驱动器,实际上它使人们能够抓取并存储全世界驾驶员的实时位置。
在整个纽约跟踪的一名BLACKVUE用户的位置数据的屏幕截图。
通过对iOS版本的BlackVue应用程序进行逆向分析发现,安全研究人员可以编写脚本来提取BlackVue用户的GPS位置长达一周的时间,并存储坐标和其他信息,例如用户的唯一标识符。
一个脚本可以每隔两分钟收集一次在美国东半部
启用了地图绘制的BlackVue用户的位置数据
。研究员因此收集了数十个客户的数据。
有了这些数据,我们就可以绘制出几个BlackVue用户的日常活动的图片:一个人白天开车绕着曼哈顿,也许是乘搭车司机,然后晚上去皇后区。另一位BlackVue用户经常在布鲁克林的某个街区停车之前,经常开车绕布鲁克林。用户在几个不同的夜晚做了此事,提示这可能是车主居住或存放车辆的地方。三分之一显示有人在南卡罗来纳州各处驾驶卡车。
此外,一些客户可能将BlackVue,作为监控员工的手段,比如一个雇主想要在他们的送货卡车上持续跟踪,防止员工开车摸鱼。
下图便是实时查看开车情况的功能。
用户在远离其明显住所的公共场所开车时,通过访问某人的公共实时供稿的屏幕快照。
BlackVue的Sinic表示,他们不可能在长时间内收集多个用户的GPS坐标。在报告曝光后,他们进行了处理,而他么程序里面的一些API请求也停止了工作。
黑鸟为了测试一二,下载了该APP。
首先,该APP如果是在国内用,会提示选择百度地图
在注册账号后,发现需要点击一系列隐私保护信息,不点击用不了。
然后黑鸟直接点进去了cloud功能选项。结果出来了惊人的一幕(可能只是在我从事这个行业的人看来比较惊人)
去纽约看了看,大概就是根据上面的ID号进行的活动轨迹追踪
目前只看见中国的中原大地上有一辆车开了这个功能
看来,研究人员进行的获取位置和活动轨迹的思路是没问题的。
此外,点那个小车图标就能实时查看当前行车记录仪的记录影像。像下面这个人就是24小时都开着,然后连着Wifi,真有趣。
这让黑鸟又想起了这个功能的延伸作用。
行车记录仪XXX
不说了,买行车记录仪去了。
PS:有兴趣的可以自己抓个包,拿一下接口,这里就不展开说了。
参考地址:
https://www.vice.com/en_us/article/wxedxb/blackvue-dashcams-users-location-tracked
上期阅读
▲美国FBI已成功解锁过iPhone 11 Pro机型
