【网安洞察】漏洞利用分析：大众汽车近百万用户位置信息泄露事件

粤网安宣 广东省网络安全应急响应中心 2025-02-14 02:15

摘要

2024年12月27日，德国《明镜》周刊报道软件公司Cariad出现安全漏洞，致使约80万辆大众集团在欧洲销售的电动汽车位置信息在互联网上暴露数月。

欧洲“混乱计算机俱乐部”（CCC）向Cariad通报该漏洞后，其进行了紧急修复。测试发现可精准追踪德国政治人物行踪，以及汉堡警察局的35辆电动车、一些与美国空军兰施泰因空军基地有关的司机的信息。此次信息泄露涉及范围广，车辆方面涵盖欧洲多国，其中德国有30万辆，还有挪威、瑞典等多国的众多车辆受影响；数据层面，车主位置信息与个人身份信息等相关联，部分车型位置数据精确度高，能呈现车主日常生活轨迹，涉及诸多重要群体的车辆信息。

经分析，漏洞利用源于多方面，包括Cariad公司IT应用程序配置错误、亚马逊云存储安全存在隐患以及Cariad自身互联网安全性薄弱等因素。

如今电动汽车发展迅速，消费者对个人隐私和安全愈发关注，像大众此次安全漏洞引发的车主信息及行驶轨迹暴露问题，后果不堪设想，这也凸显出车企在智能化进程中，国家严格管控的必要性。此前特斯拉在中国也曾因数据相关问题受到限制，后经调整才有放松迹象，侧面反映了车辆数据安全的重要性。

一、涉及范围及影响

（一）涉及车辆范围：
约80万辆大众集团在欧洲销售的电动汽车，其中30万辆位于德国，其他受影响的欧洲国家包括挪威（80,000辆）、瑞典（68,000辆）、英国（63,000辆）、荷兰（61,000辆）、法国（53,000辆）、比利时（68,000辆）和丹麦（35,000辆）。

（二）数据信息影响：泄露的数据将车主位置信息与个人身份信息（如车主姓名）关联，还包括车主电子邮件、地址和电话号码等。对于大众和西雅特车型，地理数据精确度在车辆位置10厘米以内；对于奥迪和斯柯达车型，位置被固定在10公里范围内。这些数据完全揭示出车主的日常生活轨迹，涉及汉堡警察局的35辆电动车、其他政治人物、商界领袖以及一些与美国空军兰施泰因空军基地有关的司机的信息。

二、漏洞利用分析

（一）配置错误
：Cariad公司在两个IT应用程序中的配置不正确，导致汽车数据得以访问。这使得原本应受保护的数据暴露在互联网上。

（二）云存储安全问题：存储数据的亚马逊云存储安全性存在隐患，其相关安全设置可能存在漏洞或不足，未能有效防止未经授权的访问。

（三）互联网安全薄弱：Cariad的网站和子页面因糟糕的互联网安全性变得容易被发现，文件扩展名易被猜到，进而导致内部应用程序的内存转储被获取，其中包含亚马逊云存储设施的登录凭据，使得敏感车辆信息完全暴露。

三、相关安全隐患

随着电动汽车日益发展，越来越多的消费者选择电动汽车作为日常出行工具，个人隐私和安全成为人们越来越关注的事项。特斯拉在中国销售的车辆此前一直禁止进入一些区域和路段，正是国家基于安全考虑，后来特斯拉同意把中国用户数据存储在中国，在2024年才逐步有了放松的迹象，部分区域不再严格限制特斯拉车辆的驶入。

其实，即使不考虑这种有意的安全信息利用因素，像大众这种安全漏洞导致的车主信息安全，以及行使轨迹暴露，都会导致不可想象的后果，车企在智能化的过程中，国家是需要严格管控的。

四、同类安全事件

在2023年5月12日，丰田发布公告，承认发生了一起重大数据泄露事件，涉及日本约215万车主。此次事件是由于丰田负责运营数据服务的丰田互联有限公司的服务器云环境被错误设置为“公共”开放状态，致使两类数据可被第三方通过外部访问途径获取，其中包括2012年1月2日至2023年4月17日期间订阅“g-book”等服务的约215万名用户的车载终端识别号、车架号、车辆位置信息及时间，以及2016年11月14日至2023年4月4日期间通过企业服务收集的行车记录仪在车外拍摄的视频。

该事件的影响范围覆盖了订阅相关服务的众多用户以及可能接触到数据的第三方，尽管暴露的详细信息未涉及个人身份信息，但攻击者若掌握目标车辆的VIN，就有可能利用这些数据跟踪车辆。而丰田将此次云配置错误的原因归结为“数据处理规则的传播和执行不充分”。

信息来源：公安部一所深圳市网防安全服务中心（深圳网安检测）

点击下方公众号关注我们

了解更多网安资讯

广东省计算机信息网络安全协会成立于1999年7月，是全国首家信息网络安全专业协会，在广东省民政厅登记注册的具有法人资格的社会组织，属于非营利性协会。经过在行业中二十多年的耕耘，在社会各界的鼎力支持下，目前会员遍及IT、医疗卫生、通讯、金融、信创、教育、能源、交通等各个行业和领域。