别让黑客攻击把汽车共享打回石器时代（二）

目前的攻击模式并不止是这一种，还有两种已经慢慢出现或者将要出现。

1.高级物理接触式攻击模式

一般车主注册后，租车公司会派人上门安装所谓智能盒子，基本是一个GPS定位器和通信装置用来向租车公司云平台报告车子位置，随后通知车主安装在其手机上的租车应用。智能盒子安装位置基本固定，所以恶意租车者很容易卸下这个装置。有的租车公司会安装两个以上的盒子，技术类型的攻击者会先使用GPS干扰器把地理位置干扰掉，然后把所有的装置都卸下。这样租车公司和车主就无法实时知道车子的位置，为以后警方寻车造成很大的麻烦。这种情况已经发生了。

2.大规模远程攻击方式

这是高层次的真正黑客攻击方式。特点是远程，大规模，甚至能让租车公司业务瘫痪。好消息是目前还没有发生类似攻击事件。坏消息是，根据我们对某些租车公司的安全测试评估表明，其平台的安全隐患已经能让这种攻击的技术条件形成。

这种攻击可以入侵租车公司管理平台，访问其数据库，获得用户信息，租车订单信息，车辆位置等信息。可以让大批车主对他们的车辆同时失联，同时可以随意修改汽车地理位置为虚假地址，或者让没到租期的订单变成完成订单。如果实现，租车平台就不会去监控这些车辆了。而订单结束之后，租车公司还能知道你车辆的信息，那就涉及到车主隐私信息保护的问题了。一旦一次这样攻击成为现实，将对租车公司的品牌和业务产生毁灭性打击。

这种攻击方法容易实现吗？根据我们过去两年在授权的情况下对国内汽车共享平台的安全测试结果发现：管理平台数据库泄露，注册用户信息泄露，和租车订单信息泄露是较严重的。掌握了这些数据，攻击者不难实施大规模远程攻击。为了避免公开公司细节和汽车攻击手段，具体的细节就不在这里详述了。

遗憾的是，现在租车共享公司忙于进行城市地推，扩展各地分公司，花大钱在广告促销活动和礼品上，反而在关乎其业务模式的平台安全方面不重视。可谓后院安全门户大开，这是非常危险的。