聯網汽車為用戶帶來很多方便,大部份與額外資訊和遙距控制車輛功能有關,然而一如以往,新機會帶來了新威脅,有部份服務和應用程式由第三方公司開發,在資訊安全的考量標準明顥與汽車製造商的等級有落差,以下是常見的三大不足之處。
缺乏透明度
在開發者與用戶之間的關係,信任最為重要,所以清楚而明確地向用戶傳達以下資訊十分重要:
- 應用程式在原創服務中使用客戶的帳號
- 不會傳存有關憑證(或儲存經過加密)
- 授權token同時容許存取一定數量的汽車功能
- 在使用應用程式的同時,用戶接受可能存在的額外風險。
缺乏與開發者聯絡的渠道
軟件開發者留下聯絡渠道讓用戶提供意見是常見的習慣,當然作為免費應用程式,沒有製作者會提供24/7的技術支援,但作為能夠干預聯網汽車操作的應用程式,至少具備某些聯絡方式,預防在某些涉及汽車或駕駛者安全和保安的預料之外情況出現。
不正確的終止合作
當用戶移除應用程式,開發者無法知道背後的原因,可能是他們不再需要該服務,或者是他們只是轉換裝置,如果是前者,提醒用戶他們應該取消訂閱或刪除帳號十分重要,最好建議用戶更改他們在汽車製造商的服務的密碼,甚至是取消相關的授權token,一方面展示開發者對用戶的保安和私隱的關注,另一方面可能舒緩不必要的責任。
額外應用和式保安小貼士
作為應用程式開發者,沒有人想自己的出品被網絡犯罪份子用作攻擊用戶汽車的工具,所以不妨考慮以下Kaserpsky專家的建議,預先加入保安要素的考慮:
- 採用在部署前在各個開發程序中也能進行掃瞄、測試的保安方案
- 在應用程式實施安全機制
- 在推出市面前進行安全審計
資料來源:Kaspersky Blog
