特斯拉车辆被曝储存大量个人和未加密信息 包括匹配设备联系人
ati7253月30日消息,据外媒报道,两名安全研究人员日前爆料称,在垃圾场和拍卖会上出售的撞毁特斯拉汽车,储存有大量个人和未加密数据,包括司机匹配的移动设备信息,以及事故发生前的场景视频等。
这两名安全研究员表示,特斯拉汽车上的电脑保存了司机自愿存储在汽车上的所有信息,以及车辆生成的大量其他信息,包括视频、位置和导航数据,这些数据准确地显示了导致车祸的原因。
自称“GreenTheOnly”的研究人员表示,他是一名“白帽黑客”,也是特斯拉Model X的忠诚粉丝。GreenTheOnly从撞毁的特斯拉Model S、Model X以及Model 3电脑中提取了这类数据,并在最近几年里利用特斯拉漏洞悬赏计划赚取了数万美元。他以隐私为由,同意以化名方式接受美国科技媒体CNBC的采访,并与CNBC分享数据和视频。
图1:特斯拉公司首席执行官埃隆·马斯克(Elon Musk)
许多其他汽车也从用户那里下载和存储数据,特别是来自车主匹配手机的信息,如联系人信息。这种做法十分普遍,以至于美国联邦贸易委员会(FTC)已向司机发出警告,警告他们不要将设备与租用车配对,并敦促他们学会在退还租车或出售自己拥有的汽车之前,将汽车系统上的数据清理干净。
但研究人员的发现突显了特斯拉在隐私和网络安全方面的矛盾之处。一方面,特斯拉牢牢地保存着汽车生成的数据,并在法庭上与客户进行斗争,要求他们不要放弃汽车数据。车主必须购买价值995美元的电缆,并从特斯拉下载一套软件。在出于法律、保险或其他原因等必要情况下,特斯拉可以通过“事件数据记录器”(Event Data Recorder)从汽车中获取有限的信息。
与此同时,被送去维修的撞毁特斯拉汽车可以向任何拥有汽车电脑并知道如何提取信息的人,提供未加密的和个人泄露的数据。这种对比引发了人们的疑问,即特斯拉是否明确界定了数据安全的目标,以及其现有的规则到底是为了保护谁。
特斯拉的一位发言人说:“特斯拉已经提供了许多选项,客户可以使用这些选项来保护存储在他们汽车上的个人数据,包括用于删除个人数据和将自定义设置恢复为出厂默认设置的出厂重置选项,以及用于在向代客提供钥匙时隐藏个人数据(以及其他功能)的‘代客模式’。尽管如此,我们始终致力于在车辆技术需求和客户隐私之间找到平衡,并逐渐改善它。”
特斯拉知道哪些信息
存储在特斯拉Model S、Model X以及Model 3车辆上的数据不会在汽车被拖出事故现场或在拍卖会上出售时自动删除。GreenTheOnly的研究显示,这意味着个人数据细节被保留在汽车上,并且可以由拥有汽车或其某些组件的人深入挖掘。
特斯拉有时会雇请名为曼海姆(Manheim)的汽车拍卖公司来检查、维修和销售二手车。一位不愿透露姓名的前曼海姆公司员工证实,这些员工不会通过恢复出厂设置来清除这些汽车电脑中的数据。曼海姆公司拒绝置评。
去年年底,GreenTheOnly和同为特斯拉支持者的白帽黑客西奥(Theo)购买了一辆曾撞毁的白色Model 3,用于研究目的。西奥曾修复了数百辆失事的特斯拉车辆。他们发现,这辆车属于大波士顿地区的一家建筑公司,供在那里工作的人使用。该建筑公司没有对置评请求做出回应。
图2:安全研究人员购买了这辆撞毁的Model 3,以评估车祸后留在汽车电脑中的数据
研究人员与CNBC分享了记录,这些记录显示,这辆汽车的电脑存储了至少17种不同设备的数据,而且数据都未加密。手机或平板电脑与汽车匹配了约170次。Model 3保存了11本电话簿的联系人信息,这些信息来自与设备配对的司机或乘客,日历条目中有计划会面的说明,以及受邀者的电子邮件地址。CNBC给几个将手机与车辆配对的人打了电话,并给他们发了电子邮件,发现这些信息都是真实的。
数据还显示了司机的最新73个导航位置,包括住宅地址、Wequassett度假村、高尔夫俱乐部以及当地Chik-Fil-A和Home Depot的位置。然后,发生了撞车事故。这段从撞车事故Model 3中提取的视频显示,这辆车从右侧车道快速驶入一条黑暗的双车道路线左侧的树林中。
GPS和其他车辆数据显示,事故发生在美国马萨诸塞州奥尔良市的纳木科伊特路(Namequoit Road),时间是8月11日晚上11点15分,车祸严重程度足以让安全气囊展开。
通话记录显示,事故发生时汽车里的iPhone属于拥有这辆Model 3的公司创始人兼董事长的亲戚。研究人员发现,在这辆车撞毁前的瞬间,来电记录显示,一名家庭成员给Model 3的司机打了电话。
另一个存储在汽车上的视频显示,早些时候这辆车还发生过其他事故,Model 3侧滑撞上了护栏。
轮子上的计算机
一般来说,汽车已经成为轮子上的计算机,它从用户的移动设备中获取个人数据,从而实现“信息娱乐”功能或服务。汽车产生的额外数据被用于支持和训练先进的司机辅助驾驶系统。与特斯拉自动驾驶仪(Autopilot)竞争的主要汽车制造商产品包括:通用汽车(GM)的凯迪拉克超级巡航系统(Cadillac Super Cruise)、日产英菲尼迪(Nissan Infiniti)的ProPilot辅助系统以及沃尔沃(Volvo)的Pilot Assist系统。
但GreenTheOnly和西奥指出,在特斯拉,仪表盘摄像头和自拍摄像头可以在汽车停放时记录信息,即使是在你的车库里,车主甚至不知道它们什么时候会这样做。这些摄像头支持“哨兵模式”等理想功能。在“看到”雨滴时,这些摄像头可以操控雨刷器自动打开。
GreenThely解释说:“特斯拉并不是超级透明的,不知道他们的摄像头在什么时候记录什么,以及在内部系统中存储什么。你可以选择退出所有数据收集活动,但之后你就失去了‘无线软件更新’和一大堆其他功能。因此,可以理解的是,没有人会这样做,我也勉强接受了这一点。”
西奥和GreenThely还表示,如果发生车祸,Model 3、Model S和Model X车辆将尝试上传自动驾驶仪和其他数据给特斯拉。这些车辆有能力上传其他数据,但研究人员不知道它们是否以及在什么情况下会尝试这样做。
特斯拉以技术前沿和对白帽黑客友好著称。例如,该公司是第一家对其汽车进行“空中更新”的汽车制造商。首席执行官埃隆·马斯克(Elon Musk)出席了像DefCon这样的网络安全会议,这让出席会议的“代码开发者和破坏者”感到兴奋。
特斯拉是少数几家公开吸引网络安全专业人士加入其网络的大公司之一,并呼吁那些发现特斯拉系统缺陷的人以有序的方式报告这些漏洞。这样一来,该公司就有时间在问题曝光之前修复问题。特斯拉定期向发现并成功报告这些缺陷的个人支付高达上万美元的奖金。
特斯拉负责管理“漏洞悬赏”计划的BugCrowd平台首席安全官大卫·贝克(David Baker)指出,即使在创建支付服务PayPal的时代,马斯克也是这种众包安全研究的早期支持者。
然而,根据两名要求匿名的前特斯拉服务员工的说法,当车主试图分析或修改自己的汽车系统时,该公司可能会将他们标记为黑客,并提醒特斯拉注意他们。然后,特斯拉会确保这些被标记的人不是第一批获得新软件更新的人。
贝克表示:“特斯拉确实必须防范那些试图对他们的软件进行逆向工程或进行恶意黑客攻击的人。他们不能就这么把车上的数据清除干净。这些汽车实际上已经是电脑,调查人员可能需要保留数据。但我认为,他们想要研究的是一种将存储的所有数据加密的方法,就像在你的手机上一样。”
