随着 IVI 系统功能的不断扩展，它需要存储大量与用户相关的数据，这些数据涵盖了用户的偏好、行为习惯等各个方面。但目前，数据存储和管理的安全性却令人担忧。一旦这些数据的存储和管理出现漏洞，用户的隐私就可能面临严重的威胁。想象一下，你的行车轨迹、日常出行习惯，甚至家庭住址等敏感信息，都有可能被他人轻易获取，这无疑会给个人隐私带来巨大的风险。为了深入了解这一问题，来自国外的研究人员针对奔驰 NTG5^*2 COMMAND IVI 系统展开了研究。该研究成果发表在《Forensic Science International: Digital Investigation》上，具有重要的意义。

研究人员在开展研究时，用到了几个主要关键技术方法。首先是数据采集与提取技术，通过从车辆仪表盘提取头单元，并使用 USB - to - SATA 适配器和 EnCase 磁盘成像工具获取磁盘的法医副本。然后针对获取的数据，运用反向工程技术解析存储 GPS 坐标和车辆相关物理事件的专有数据结构。在处理 SQLite 数据库时，利用对数据库结构的理解来恢复删除的痕迹。

研究人员以安装在 2016 款奔驰 C 级车上由 Harman 生产的 COMAND APS NTG5^*2 信息娱乐系统为研究对象。通过一周的使用收集数据，发现即使关闭与位置活动相关的功能，数据仍会自动收集。在数据采集与提取过程中，研究人员详细分析了车辆硬盘的分区情况，发现分区 #2 中的 “trails.sqlite” 和 “trips.sqlite” 文件存储着旅行历史数据，分区 #4 中的事件日志文件记录了车辆的各种信息。

对旅行历史文件的研究发现，其数据库结构包含多个表，其中 “Trails” 和 “IncompleteTrail” 表用于存储 GPS 坐标历史。“Bounding Box” 和 “Path” 列采用专有格式编码，研究人员经过手动反向工程，确定了其编码结构。例如，“Bounding Box” 每个条目以特定字节开头，包含两组 GPS 坐标，坐标通过特定公式转换。“Path” 字段数据按事件组织，不同事件类型有不同结构和语义。

事件日志文件位于分区 #4 的多个存档中，其结构为表格分隔文件，包含多种车辆信息。研究人员通过交叉引用不同值与文本描述，反向工程了事件的类别、类型和有效载荷字段，识别出与 CAN 通信相关的事件，如车门和后备箱的开关、车辆启动和停止等信息。

在数据融合与增强方面，研究人员将 “Trails” 表和事件日志的数据进行处理。先对数据进行预处理，将 “Trails” 表数据解码，为每个事件关联时间戳；对事件日志文件进行合并、分离和时间戳计算。然后将两者数据基于时间戳合并，为每个相关日志条目关联坐标，输出为 GPX 格式文件，便于法医专家分析驾驶员行为和位置。

通过对一组实验痕迹的分析，研究人员展示了如何利用这些数据重建行程。例如，通过分析车辆在不同时间点的位置、车门和后备箱的开关情况，能够推断出驾驶员的行程、是否有乘客以及乘客的上下车地点等信息。这表明存储在 IVI 系统中的数据若管理不当，极易暴露敏感位置和习惯。

研究人员深入分析 SQLite 数据库文件格式，发现可通过分析 “freelist” 字段和 “b - tree” 数据结构来识别删除的条目。在识别从 SQLite 页面中删除的条目时，研究人员关注 “b - tree” 叶页面，分析其页面头、单元指针数组和单元格内容，通过特定的记录格式识别 “trails” 数据库的条目。

与现有工具的比较结果显示，研究人员开发的 NTGcarver 工具在恢复已删除痕迹方面表现更优，比其他工具能恢复更多有效条目，且恢复的条目时间戳可追溯到数据采集前 2 年。

研究人员提出了防止访问 IVI 系统中隐私敏感数据的对策，分为架构解决方案和功能解决方案。架构解决方案包括远程访问和直接访问两种场景，强调通过访问控制、加密等方式保护数据。功能解决方案从车主角度出发，提出可选数据收集、数据收集参数配置和数据删除等措施，以保障车主对数据的控制权。

研究人员成功从奔驰 NTG5^*2 信息娱乐系统中提取隐私敏感信息，开发工具实现自动化提取，恢复了更多 SQLite 数据库中的条目。这一研究成果不仅为法医分析提供了有力支持，也为汽车制造商和相关行业敲响了警钟，促使他们重视 IVI 系统的数据安全问题，加强数据保护措施，防止用户隐私泄露。