狮子笼：一个有前途的项目 – Dr. Apple Store – 越南正版 Apple 系统 #網路安全 #DataSecurity #電動車 #China

挪威網路安全專家 Tor Indstøy 的「Lion’s Cage」專案因分析中國公司蔚來電動 SUV ES8 的數據活動而成為頭條新聞。隨著專案進展的十幾次更新，Indstøy 和團隊發現了從這輛車收集數據並將數據發送回中國的一些令人不安的問題。

由於超過90%的資料發送到中國，並且下載到車輛的未加密文件，蔚來ES8引發了人們對資料安全的擔憂。來自中國伺服器的未加密查詢請求也是另一個值得注意的點。儘管後視鏡中的攝影機用於「駕駛員疲勞偵測」系統，但不斷向中國發送資料可能會引起車主的焦慮。

因德斯托伊強調了研究和反思中國汽車使用安全問題的重要性。作為當今世界上最大的電動車市場，出於對敏感資料外洩的擔憂，人們希望限制中國汽車在美國和歐洲街道上的出現。透過「獅籠」項目，Indstøy和他的團隊將繼續深入挖掘和了解中國電動車使用中潛在的安全風險。

#ProjectLionCage #網路安全 #DataSecurity #電動車 #China

當挪威網路安全專家 Tor Indstøy 需要為全家購買一輛更大的汽車時，他希望從中國公司蔚來購買一款電動 SUV ES8。他不僅僅是一輛供家人使用的車輛，他還想了解這輛車如何收集數據並將其發送回中國。

他與一些業內朋友一起創建了「Project Lion Cage」專案來詳細分析這輛車上的數據活動。從 2023 年 6 月開始，截至目前，Indstøy 和他的朋友們已經更新了十幾次有關該專案的進展。從上個月開始，Indstøy 向安全社區的其他成員開放了該專案。

與巨型電腦類似，電動車使用大量晶片——通常為2,000 或3,000 個晶片，是汽油車的兩倍——來控制和控制車輛上的許多部件，從輪胎壓力到導航和電池管理——每個部件這些晶片收集數據。

但研究和收集這些晶片的效能數據很困難，因為它們的運作標準與普通電腦不同，因此標準網路安全工具也不適用於它們。

因此，研究人員通常必須從頭開始，使用專門的程式從電動車的每個不同系統獲取數據，了解它們通常如何在不同協議中運作以及它們如何相互互動。儘管 Indstøy 和他的團隊沒有發現 NIO ES8 有任何特別嚴重的問題，但他們確實注意到車輛處理資料的方式存在一些不尋常的特徵。

首先，收集的資料量非常大——遠大於該公司文件中聲稱的資料量。

此外，超過90%的資料是直接發送到中國——如果蔚來在歐洲沒有資料中心，這也不會奇怪。發送回中國的數據範圍從簡單的語音命令到有關車輛位置的資訊。除中國外，接收這些資料的其他國家還包括德國、美國、荷蘭、瑞士等。

另一個令人擔憂的問題是下載到電動車的資料中存在未加密的檔案。根據研究人員的報告，一個名為 tsp.nio.com 的網站集中了大部分發送的資料。但從這個網站上，不斷有一個未加密的檔案被下載到電車上，但他們卻無法找出這個檔案的用途。

此外，研究人員還發現，該車也持續收到來自中國伺服器的未加密查詢請求。大量此類請求被發送到電車上的地圖系統，該系統將資訊發送到中國的伺服器。

另外值得注意的是，車內後視鏡內安裝有一個攝影機。根據蔚來的使用手冊，該攝影機是「疲勞駕駛偵測」系統的一部分。然而，由於這輛車不斷收集數據並將其發送回中國，這樣的系統可能會引起車主的擔憂。

「我們希望展示購買中國汽車時安全問題和風險的真正含義，」因德斯托伊說。目前，Indstøy 表示，他和他的團隊將繼續深入挖掘汽車發送到中國伺服器的加密訊息。

目前，中國是全球最大的電動車市場，去年新登記的14輛電動車中，60%來自中國，歐洲佔25%，美國僅佔10%。然而，中國電動車正在成為外國政府的資料安全疑慮。出於對敏感資料外洩的擔憂，美國和歐盟都在起草新法規，以盡量減少中國電動車在這些國家街道上的出現。