Twój samochód będzie cię podglądał, szpiegował i na ciebie donosił. Ba, już to robi
Nowoczesne, podłączone do Internetu samochody traktują swojego użytkownika jak towar, na którym można zarabiać. Co gorsza, trudno o wyraźny podział na lepszych i gorszych producentów samochodów. Prywatności nie szanuje w zasadzie nikt.
Mozilla, znana najbardziej z przeglądarki Firefox, zdecydowała się przeprowadzić szerokie badanie na temat tego, jak komputery pokładowe nowoczesnych samochodów dbają o prywatność swoich użytkowników. Celem raportu było znalezienie nieoczywistych zagrożeń dla użytkowników, które niedoświadczone w branży IT firmy motoryzacyjne mogły przeoczyć.
Rzeczywistość przerosła jednak największe obawy. Sprawdzono 25 marek samochodów i każda, bez wyjątku, narusza prywatność klientów w rażący sposób.
Według raportu Privacy Not Included, nawet marki cieszące się dużym zaufaniem konsumentów - w tym BMW, Ford, Toyota, Tesla i Subaru - zbierają dane o rasie kierowcy, jego mimice, wadze, informacjach natury zdrowotnej i trasach, jakie pokonuje. Niektóre samochody rejestrowały nawet seksualną aktywność. Rzecz jasna pilnie o wszystkim raportując do chmury producenta i daleko wykraczając poza jakąkolwiek definicję danych telemetrycznych.
Więcej o niespodziewanych cyberzagrożeniach czytaj na Spider's Web:
Nowoczesne, podłączone do Internetu samochody wykorzystują wszystkie możliwe środki, by szpiegować swojego użytkownika i zbierać o nim dane. Jak wykazało badanie Mozilli, wykorzystywane są mikrofony, kamery, samochody nawet pobierają dane z podłączanych do nich telefonów komórkowych użytkowników - niektóre aplikacje producentów samochodów do obsługi tychże pojazdów pobierały i wysyłały nawet historię przeglądania Internetu. Mozilla nie ma na to dowodów, ale spekuluje, że tego typu dane są akurat dla producentów bezwartościowe, więc prawdopodobnie sprzedają je innym firmom.
Wsiadając do naszego samochodu zgadzasz się, że będziemy cię podglądać, gdy uprawiasz seks.
Mozilla zauważa przy tym, że pewna część producentów otwarcie pisze o możliwości zbierania danych przez samochody. Problem w tym, że informują o tym w dokumencie polityka prywatności prezentowanemu użytkownikowi najczęściej przy pierwszym uruchomieniu interfejsu ekranowego w samochodzie - o dużej objętości, który najczęściej przez użytkowników jest pomijany. Zresztą, trudno się dziwić. Mozilla zauważa, że Toyota serwuje użytkownikowi 12 różnych obszernych dokumentów o ochronie prywatności. Trudno się dziwić użytkownikowi, że to pomija.
A szkoda, że pomija, bo dla przykładu - jak zauważa Mozilla - Nissan informuje, że może rejestrować seksualną aktywność, dane zdrowotne czy nawet dane genetyczne, choć akurat nie jest jasne jak u licha takie dane miałyby być rejestrowane. Nissan zastrzega też sobie prawo do dzielenia się danymi lub ich sprzedaży na temat gustów, wiodących cech, psychologicznego profilu, predyspozycji, zachowania, postaw, inteligencji, zdolności i umiejętności (sic!) partnerom, organom ścigania i innym podmiotom trzecim. Subaru nie szpieguje aż tak agresywnie - ale za to za zgodę na zbieranie danych uznaje samo bycie pasażerem pojazdu.
Volkswagen w podobnym dokumencie informuje, że zbiera zachowania na temat prowadzenia, w tym nawyki dotyczące zapinania pasów i sposobów hamowania, łącząc te informacje z wiekiem i płcią osoby kierującej. Informuje, że to celem zwiększenia skuteczności reklamy profilowanej. Kia z kolei rości sobie prawo do rejestrowania życia seksualnego użytkownika. Mercedes z kolei ma wbudowaną w komputer aplikację TikTok, co zdaniem Mozilli też jest pewnym problemem, mając na uwadze źródła przychodu tej sieci społecznościowej. Trudno się nie zgodzić.
Redakcja Gizmodo poprosiła rzeczników producentów komentarz. Otrzymała kilka zwrotnych, ale niestety dość wymijających. Rzecznicy podkreślili, że nie zbadali jeszcze należycie raportu Mozilli, nie mogą wiec się do niego oficjalnie odnieść. Niektórzy podkreślili jednak, że aplikacje do ich samochodów oferują użytkownikom bardzo rozbudowane i wyczerpujące menu do zarządzania ochroną prywatności. Znaczna część producentów badanych samochodów jest sygnatariuszami Consumer Privacy Protection Principles - inicjatywy, która powstała, by walczyć z praktykami, jakie Mozilla rzeczonym producentom zarzuca.
Firmy motoryzacyjne znają się na samochodach. Niezupełnie na informatyce i cyberbezpieczeństwie.
To nie pierwszy raz, kiedy dane milionów kierowców i pasażerów mogą być potencjalnie zagrożone z uwagi na nierozsądne praktyki przetwarzania danych przez producentów samochodów i niedostateczne ich zabezpieczenie. W 2019 r. hakerzy przejęli kontrolę nad systemem infotainment w samochodzie elektrycznym. Wykorzystali oni lukę w przeglądarce internetowej w samochodzie podczas konkursu hakerskiego, co zmusiło producenta samochodu do wydania aktualizacji oprogramowania, aby zniwelować problem.
W 2022 r. chińska firma zajmująca się bezpieczeństwem odkryła 14 podatności w pojazdach europejskiego producenta samochodów premium. Podatności te dotyczyły systemu Bluetooth, który łączył urządzenia osobiste z jednostką infotainment. Hakerzy mogli uzyskać dostęp do prywatnych informacji, takich jak kontakty, wiadomości, historię połączeń i lokalizację użytkowników. Przykładów jest, niestety, zatrważająco więcej.