白帽黑客:特斯拉汽车存储个人数据范围远超想

发布时间:2019-05-22 14:15   For:科技生活   阅读:

北京时间3月30日上午消息,美国财经网站CNBC今日发表文章援引两名安全研究人员的说法称,特斯拉汽车上的电脑中保存了司机存储在汽车上的所有信息,以及车辆生成的大量其它信息,包括视频、位置和导航数据,其中的导航数据能准确显示出导致车祸的原因。

CNBC指出,如果你不幸撞毁了你的特斯拉汽车,即使它被拖往垃圾场,你也不要忘记,它可能带着一大堆有关你的历史,因为特斯拉电动汽车所存储的数据远超出你的想象。

其中,一个化名为“GreenTheOnly”的研究人员声称自己是一名“白帽黑客”(指用黑客技术来维护网络关系公平正义的黑客),也是一名拥有Model X的特斯拉爱好者。他从出过事故的特斯拉Model S、X和两辆Model 3电动汽车的电脑中提取了这类数据,并在最近几年里通过特斯拉的“Bug悬赏”计划赚取了数万美元。出于隐私考虑,他同意以“化名”的方式与CNBC讨论该问题,并分享了相关数据和视频。

其实,许多其它品牌的汽车也从用户那里下载和存储数据,特别是来自与车辆配对手机的信息,如联系人信息。这种做法十分普遍,以至于美国联邦贸易委员会(FTC)已向司机发出警告,提醒他们不要将自己的手机与租来的车辆配对,并敦促他们学会在退还租车或出售自己的汽车之前,将汽车系统“擦”干净。

但此次研究人员的发现,突显了特斯拉在隐私和网络安全方面的矛盾之处。一方面,特斯拉牢牢地掌握着汽车生成的数据,并在法庭上与客户进行斗争,要求他们不要放弃汽车数据。如果车主出于法律、保险或其它原因需要这些数据的话,必须要购买价值995美元的线缆,并从特斯拉下载一套软件,以通过“事件数据记录器”(Event Data Recorder)从汽车中获取有限的信息。

但与此同时,被送去维修的、出过事故的特斯拉汽车,可以向任何拿到汽车电脑的人提供未加密的车主相关信息,只要这个人知道如何提取这些数据。

这种矛盾不禁引发了人们的质疑,即特斯拉是否明确定义了数据安全的目标,以及该公司当前的政策究竟是为了保护谁。

对此,特斯拉一名发言人称:“特斯拉已经提供了一些选项,客户可以使用这些选项来保护存储在自己汽车上的个人数据,包括用于删除个人数据和将‘自定义设置’恢复为‘出厂默认设置’的出厂重置选项,以及用于在向其他人员提供钥匙时隐藏个人数据(以及其它功能)的“代客泊车模式”(Valet Mode)。也就是说,我们始终致力于在车辆技术需求和客户隐私之间找到适当的平衡,并持续改进。”

特斯拉拥有你哪些信息?

根据GreenTheOnly的研究显示,对于存储在特斯拉Model S、Model X或Model 3车辆上的数据,不会在汽车被拖出事故现场、或在拍卖会上出售时自动删除。这意味着许多个人细节信息被保留在汽车上,并可以被拥有汽车或其某些组件的人获得。

有时,特斯拉会利用一家名为“曼海姆”(Manheim)的汽车拍卖公司来检查、维修和销售二手车。一位不愿透露姓名的曼海姆前员工证实,员工不会通过出厂重置来删除汽车电脑上的数据。

去年年底,GreenTheOnly和同为特斯拉支持者的“白帽黑客”西奥(Theo)购买了一辆白色Model 3,用于研究目的。西奥曾修复了数百辆出过事故的特斯拉电动汽车,他们发现,他们购买的这辆车属于大波士顿地区的一家建筑公司,供在那里工作的人使用。目前,该建筑公司尚未对多次采访请求做出回应。

两位研究人员与CNBC分享了一些数据,这些记录显示,这辆汽车的电脑存储了至少17种不同设备的数据。而且,这些数据并未加密。

手机或平板电脑与汽车配对的次数约为170次。这辆Model 3保存了11本电话簿的联系人信息,这些信息来自与设备配对的司机或乘客;还有日历条目中有计划约会的说明,以及受邀者的电子邮件地址。(CNBC还给几个将手机与车辆配对的人打了电话,并给他们发了电子邮件,以验证他们的信息是真实的。)

数据还显示了司机的最后的73个导航位置,包括住宅地址、Wequassett度假村和高尔夫俱乐部,以及当地Chik-Fil-A快餐店和家得宝(Home Depot)的位置。

一段从Model 3事故车辆中提取的视频显示,这辆车从右侧车道快速驶入一条黑暗的双车道路线左侧的树林中。

GPS和其它车辆数据显示,事故发生在马萨诸塞州奥尔良市的纳木科伊特路(Namequoit Road),时间是8月11日晚上11点15份,严重程度已让安全气囊展开。

通话记录显示,事故发生时汽车里的一部iPhone,属于拥有这辆Model 3的公司的创始人兼董事长的一位亲戚。研究人员发现,在这辆车坠毁前的瞬间,来电记录显示,一名家庭成员给Model 3的司机打了电话。

另一段存储在汽车上的视频显示,早些时候发生了一起事故, 导致Model 3侧滑撞上了护栏。

“带轮子的电脑”

一般来说,汽车已经成为“带轮子的电脑”(rolling computer),它从用户的移动设备中获取个人数据,从而实现“信息娱乐”功能或服务。汽车产生的额外数据,可以用来支持和训练先进的驾驶员辅助系统。与特斯拉Autopilot辅助驾驶功能相竞争的主要产品还包括通用汽车的凯迪拉克超级巡航(Cadillac Super Cruise)、日产英菲尼迪的ProPilot辅助系统,以及沃尔沃的巡航辅助系统。

但GreenTheOnly和西奥指出,对于特斯拉汽车,仪表板相机和自拍相机可以在汽车停放时(甚至是在自家车库里)记录数。而对于车主而言,他们不可能知道特斯拉何时会这样做。这些摄像头支持“哨兵模式”等功能,此外,它们还能使雨刷“看到”雨滴,并自动工作。

GreenThely解释说:“汽车在什么时候记录什么,以及在内部系统中存储什么,特斯拉在这方面并不是超级透明的。你可以选择退出所有数据收集,但之后你就失去了软件更新和其它一大堆功能。因此,可以理解的是,没有人会那样做,甚至可能包括我在内”

西奥和GreenThely还称,如果发生车祸,Model 3、Model S和Model X车辆将尝试上传Autopilot和其它数据给特斯拉。这些汽车还有上传其它数据的能力,但研究人员不知道他们是否、以及在什么情况下会尝试这样做。

特斯拉以技术先进和对“白帽黑客”友好著称。例如,特斯拉是第一家对其汽车进行“空中升级”(OTA)的汽车制造商。CEO埃隆·马斯克(Elon Musk)出席了像DefCon这样的网络安全会议,这让出席会议的代码“制作者和破坏者”感到高兴。

特斯拉还是少数几家公开吸引网络安全专业人士加入其网络的大公司之一,希望那些发现特斯拉系统缺陷的人以一种有序的程序报告这些漏洞。这样,特斯拉就有时间在问题曝光之前修复问题。特斯拉定期向发现并成功报告这些缺陷的个人支付五位数的奖金。

负责管理特斯拉“漏洞悬赏”计划的BugCrowd平台的首席安全官(CSO)大卫·贝克(David Baker)称,即使在领导PayPal时代,马斯克也是这种众包安全研究的早期支持者。

但是,根据两名要求匿名的特斯拉前员工的说法,当车主试图分析或修改自己的汽车系统时,特斯拉可能会将他们标记为黑客,并向公司报告他们的技能。然后,特斯拉就会确保这些被标记过的人,不在第一批获得软件更新的车主之列。

对此,贝克很同情地说:“特斯拉确实要防范那些试图对他们的软件进行反向工程或进行恶意黑客攻击的人。他们不能就这么把车‘擦’干净,这些是电脑,法医可能需要这其中的一些数据。但我认为,他们要做的是将存储的所有数据进行加密,就像在你的手机上一样。”

标签: 特斯拉 存储 个人 信息