BlackVue行车记录仪 - 不是漏洞，是功能

BlackVue云连接行车记录仪泄露您的位置，并允许任何人通过免费账户查看您的实时视频流。大家注意了！

Andy Gill
2024年3月15日
• 3分钟阅读

更新：经过两年时间，BlackVue未采取积极措施解决此问题，我认为发布此文章符合公共利益。尤其随着汽车犯罪增加（虽不直接与BlackVue相关），我觉得最好引起大家关注。2022年初我原计划暂停博客直到发布LTR102，但那个周末我买了新行车记录仪，在阅读功能时发现移动应用中的“连接到云”选项。

如何开始

我的行车记录仪附带LTE模块以实现“云连接”；我最初的理解是，如果摄像头检测到运动或车辆碰撞，此功能会向手机推送通知，这完全合理。人们可能认为这些信息只能由摄像头用户访问，对吧？

但您错了，因为简而言之，任何拥有移动设备的人（在浏览器中也有效）都可以下载BlackVue移动应用，打开并选择“连接到云”；无需事先拥有摄像头或类似东西。点击后地图视图打开：

您看到所有那些数字了吗？它们是云连接的行车记录仪，对任何人开放以放大查看其地理位置。所以，首先这很糟糕，但事情变得更糟。
https://twitter.com/ZephrFish/status/1480155179144130561?s=20

我决定注册账户看看它能给我什么权限。注册非常简单，只需输入电子邮件（本例中使用Gmail/Apple Private Relay），它会根据所选操作系统应用通过Gmail/Apple Private Relay自动登录。从这里，我不仅能够查看行车记录仪的地理位置，还能查看实时视频流。

2021年11月
Antisocial Engineer在2020年11月也告知了BlackVue此问题，但他们似乎不想解决，并称之为功能。

2021年10月
我不是第一个发现甚至向BlackVue报告此问题的人。我的朋友Colin在2021年10月电子邮件联系BlackVue英国实体报告类似漏洞，并被指示这确实是功能而非安全或隐私问题：

Colin的初始电子邮件给BlackVue：

您好，

我想提出一个潜在的安全问题，在探索中发现可以查看任何拥有BlackVue云账户且未更改默认配置的人的行车记录仪。

重现步骤：
访问应用 > 连接到云 > 选择摄像头

所以我听到了车内的对话，观看了有问题的驾驶，并通过观看车辆进入物业/车库获得了地址和安全信息。

期待您的回复。

回复：

感谢联系。

您报告的经验是BlackVue云的功能，只有通过在隐私设置中选择“共享位置”选择加入的用户才会出现在地图上。

默认设置是关闭的。

Colin的跟进：

感谢（快速）回复！

希望这不会显得好辩，但我想质疑我是否应该能够查看和收听其他用户的对话，并基本上从位置A观看他们到家庭位置？

我理解共享位置，但除此之外的任何事情都会引发隐私问题。

BV的最终裁决：

这是个人选择的问题，个人来说不适合我 - 观看他人或被他人观看 - 但这是为那些想要的人提供的功能。

该功能是成熟的，已可用近5年。

2020年1月
Vice在2020年1月写了关于同一问题的文章，但BlackVue更改了一些设置，却拒绝为其应用和“功能”的隐私影响承担责任。

最简单的解决方案是根本不使用云连接的BlackVue，但如果您有，请在设置中关闭GPS选项以防止访问。最终，这已在两年前报告，但BlackVue仍然拒绝修复，因此有了这篇博客文章！