车轮上的僵尸网络:行车记录仪的大规模入侵
研究人员发现,能在几秒钟内连接到他人的行车记录仪,并将其武器化用于未来的攻击。
行车记录仪在某些国家很流行,而在另一些国家则非法。它通常被视为事故或路边纠纷的保险。但新加坡的一个网络安全研究团队有不同的看法。他们认为离线(!)行车记录仪是……大规模监控系统的合适基础——而且是一个可以自动扩展的系统。他们在2025年安全分析师峰会上介绍了他们研究的细节。
行车记录仪的间谍潜力
那么,离线设备如何用于监控呢?确实,大多数行车记录仪没有配备SIM卡或4G/5G连接——但即便是廉价型号也有Wi-Fi。这使得司机的手机可以通过移动应用程序连接到设备,以调整设置、下载视频以及其他用途。事实证明,许多行车记录仪允许绕过身份验证,这意味着恶意行为者可以从自己的设备连接到它们,然后下载存储的数据。
攻击者从中可以获得很多。首先,是高分辨率视频,它能清楚地显示车牌和路标。一些行车记录仪型号还记录汽车内部,其他型号则具有广角镜头和/或后置摄像头。其次,行车记录仪可以录制音频——主要是车内对话。第三,这些视频和音频记录都带有精确的时间戳和GPS标签。
因此,通过从行车记录仪下载数据,某人可以追踪车主的行踪,获取其驾驶和停车地点的图像,了解他们在车内的谈话内容,并经常获得车辆乘客或车附近人员的照片和视频。当然,对于有针对性的监控,黑客需要入侵特定的行车记录仪;而对于大规模监控,则需要入侵大量设备。
行车记录仪的攻击途径
研究人员从一款流行的Thinkware行车记录仪开始实验,但很快将研究范围扩大到来自大约15个不同品牌的二十多种型号。
他们发现不同设备的操作方式有很多相似之处。初始连接通常是通过行车记录仪自身创建的Wi-Fi接入点进行的,使用手册中的默认SSID和密码。
研究人员测试的大多数型号都有硬编码密码,允许攻击者与它们建立连接。一旦连接,黑客就可以访问其他物联网设备中常见的架构:一个ARM处理器和一个轻量级Linux构建。然后,攻击者可以选择一整套成熟的方法来绕过制造商的身份验证——这些验证旨在区分车主和未经授权的用户。至少其中一种方法通常是有效的:
- 直接文件访问。当行车记录仪中的微型Web服务器在官方入口点等待客户端发送密码时,恶意请求直接下载视频通常无需密码检查即可通过。
- MAC地址欺骗。许多行车记录仪通过检查车主智能手机Wi-Fi适配器的唯一MAC地址来验证车主身份。攻击者可以先在空中拦截此地址,然后在自己的请求中伪造它,这通常足以建立连接。
- 重放攻击。通过在合法连接期间简单地记录行车记录仪与车主智能手机之间的整个Wi-Fi数据交换,攻击者可以稍后重放此记录以获得所需权限。
大多数在线服务已经保护自己免受此类攻击多年甚至数十年。然而,这些过去的经典漏洞仍然经常在嵌入式设备中发现。
为了让用户能在手机屏幕上快速查看录制的文件,甚至观看摄像头的实时画面,行车记录仪通常运行着几个类似于互联网上使用的服务器。FTP服务器支持快速文件下载,而RTSP服务器则提供实时视频流,等等。理论上,这些服务器有自己基于密码的安全性,以防止未经授权的访问。但实际上,它们通常使用一个默认的硬编码密码,该型号的每个单元都相同——这个密码可以很容易地从制造商的移动应用程序中提取出来。
“一招鲜"的攻击局面
为什么研究人员确信这些设备可以被大规模入侵?这归因于两个关键因素:
- 仅少数流行的行车记录仪型号就占据了市场的主要份额。例如,在新加坡,售出的所有行车记录仪中近一半来自IMAKE品牌。
- 不同型号,有时来自不同品牌,具有非常相似的硬件和软件架构。这是因为这些行车记录仪制造商从同一开发商处采购其组件和固件。
因此,一段旨在尝试几十个密码和三到四种不同攻击方法的恶意代码,可以在现实世界的城市环境中成功入侵大约四分之一的所有行车记录仪。
在攻击的初始版本中,研究人员模拟了一个半固定的场景。在这种设置中,攻击者携带笔记本电脑,会位于汽车停留几分钟的地方,例如加油站或得来速通道。然而,进一步的研究让他们得出了一个更令人担忧的结论:攻击所需的一切都可以直接在行车记录仪本身上运行!他们设法编写了像计算机蠕虫一样操作的代码:一个被感染的行车记录仪在行驶过程中会尝试连接并入侵附近汽车的行车记录仪。这在车辆以相似速度行驶时是可行的,例如在交通拥堵时。
从大规模入侵到大范围监控
该研究的作者不仅证明了入侵是可能的,还开发了一个完整的系统来收集和分析数据。来自被入侵行车记录仪的数据可以通过两种方式收集到一个中心位置:将数据直接发送到攻击者位于(例如)加油站的计算机,或者利用一些行车记录仪内置的支持云的功能。
一些行车记录仪型号配备了LTE模块,允许恶意代码将数据直接发送给僵尸网络所有者。但也有适用于更简单型号的选择。例如,行车记录仪可以具有将数据上传到智能手机以同步到供应商云的功能,或者被入侵的设备可以将数据转发到其他行车记录仪,然后由后者中继给攻击者。
有时,云存储安全性不足,使得数据可以直接被提取——尤其是在攻击者知道存储在摄像头内的用户标识符的情况下。
攻击者可以结合多种方法来分析收集到的数据:
- 从照片和视频中提取GPS元数据。
- 分析视频片段以检测路标和识别文字——确定特定的街道和地标。
- 使用类似Shazam的服务来识别车内播放的音乐。
- 利用OpenAI模型转录音频,并为车内所有对话生成简洁的摘要。
其结果是对每次行程的一个简要、信息丰富的总结:路线、旅行时间和讨论的话题。乍一看,这些数据的价值似乎有限,因为它是匿名的。实际上,去匿名化并不是问题。有时,车主的姓名或车牌号会明确列在摄像头的设置中。此外,通过分析经常访问的地点(如家和工作地点)的组合,识别行车记录仪车主相对简单。
结论与防御策略
最近关于Flock和Nexar之间合作的披露突显了行车记录仪如何确实可能成为全球监控和视频监控系统中有价值的一环。Flock在美国运营着最大的自动车牌读取摄像头网络供警方使用,而Nexar则运营着一个流行的云连接行车记录仪网络,旨在创建道路的“众包视觉”。
然而,行车记录仪的大规模入侵可能导致更激进和恶意的数据收集,信息被滥用于犯罪和欺诈计划。应对这种威胁主要是供应商的责任,他们需要采用安全开发实践(Security by Design)、实施强大的密码学并采用其他技术控制措施。对于司机来说,自卫选项有限,并且在很大程度上取决于其行车记录仪型号的具体功能。我们按从最激进到最不激进的顺序在下面列出:
- 购买不具备LTE、Wi-Fi和蓝牙功能的型号。这是最安全的选择。
- 完全禁用行车记录仪上的Wi-Fi、蓝牙和其他通信功能。
- 禁用录音,如果可能的话,最好物理禁用麦克风。
- 关闭停车监控模式。此功能使行车记录仪始终保持活动状态,以记录停车时的事件。然而,它会消耗汽车电池,并且很可能保持Wi-Fi开启——显著增加了被入侵的风险。
- 检查行车记录仪上可用的Wi-Fi设置:
- 如果Wi-Fi在一定时间后自动关闭,请将其设置为最短时间。
- 如果可以更改默认的Wi-Fi密码或网络名称(SSID),请务必更改。
- 如果有隐藏网络名称的选项(通常称为隐藏SSID、关闭Wi-Fi广播或隐形模式),请启用它。
- 定期更新您的行车记录仪固件及其配对的智能手机应用程序。这增加了在安装新版本时修复漏洞(如本文所述的漏洞)的机会。
现代汽车也容易受到其他类型的网络攻击:
- 高速公路通往…被黑:联网汽车的网络威胁
- 通过蓝牙进行的汽车入侵
- 数百万辆起亚汽车如何被追踪
- 我知道你去年夏天是怎么开车的
- 车轮上的间谍:汽车制造商如何收集然后转售信息