BlackVue行车记录仪 - 这不是漏洞，而是"功能"

BlackVue云联网行车记录仪会泄露你的位置信息，并允许任何注册免费账户的人查看你的实时画面。厂商该重视这个问题了！

更新：经过两年与BlackVue沟通无果后，我认为公开此事符合公共利益。特别是在汽车犯罪率上升的背景下，尽管与BlackVue没有直接关联，但仍需引起人们警惕。

问题发现过程

2022年某个周末，我在研究新购买的行车记录仪时，发现了移动应用中的"连接云端"选项。我的设备配有LTE模块以实现"云连接"功能，原本以为这只是用于向手机推送碰撞或移动检测通知的合理功能。

但事实令人震惊：任何拥有移动设备的人（浏览器也可实现）只需下载BlackVue应用，选择"连接云端"（无需事先拥有设备），就能看到地图上所有联网行车记录仪的地理位置标识。更糟糕的是，注册账户后（仅需提供邮箱，支持Gmail/Apple Private Relay自动登录），不仅能查看设备位置，还能观看实时画面。

历史投诉记录

2021年11月

Antisocial Engineer团队早在2020年11月就向BlackVue报告此问题，但厂商将其辩称为"功能"不予修复。

2021年10月

安全研究员Colin向BlackVue英国分部提交的投诉邮件显示：

“通过APP>连接云端>选择摄像头，我可以监听车内对话，观察可疑驾驶行为，并通过跟踪车辆获取住址和安全信息。”

厂商回复称：

“这是BlackVue云功能的特性，只有用户在隐私设置中主动选择’分享位置’才会出现在地图上。默认设置是关闭的。”

当Colin追问为何能监听对话和跟踪回家路线时，BlackVue最终回应：

“这是个人选择问题…该’功能’已存在近五年。”

2020年1月

Vice媒体曾报道过相同问题，当时BlackVue仅调整了部分设置，仍拒绝承认其应用的隐私风险。

防护建议

最彻底的解决方案是完全不使用BlackVue的云连接功能。如果已在使用，务必在设置中关闭GPS选项以阻止位置访问。这个问题被曝光两年后，BlackVue仍拒绝修复，故撰写本文警示公众。