扫码打开虎嗅APP
虎嗅注:在不少App、网站成为泄露用户隐私数据的“罪恶之源”后,现在,就算你出了车祸、将自己的车撞毁了,都有可能泄露自己的隐私数据——我说的是特斯拉。据一位“白帽黑客”所说,他从一辆被打捞出来的特斯拉Model S、Model X和两辆Model 3汽车的电脑中都提取出了过往驾驶员资源储存在汽车上的历史信息,包括视频、位置、导航数据,甚至是手机通讯录、日历信息等。
本文转载自猎云网,编译:王哲,题图源自视觉中国。
如果你不幸撞毁了你的特斯拉汽车,那么当它被扔进垃圾场的时候,它可能会携带着你的历史信息。
据两名安全研究人员说,这是因为特斯拉汽车上的电脑保存了驾驶员自愿储存在汽车上的所有信息,以及汽车本身留下的大量其它信息,包括视频、位置和导航数据,这些数据可以准确解释导致事故的原因。
一位自称是GreenTheOnly的研究员形容他自己就是一个“白帽黑客”,也是一位驾驶X型车的特斯拉爱好者。他从一辆被打捞出来的特斯拉Model S、Model X和两辆Model 3汽车的电脑中提取了这类数据,近年来还从特斯拉的臭虫奖金中赚取了数万美元。
很多其它汽车其实都会从用户那里下载和存储数据,尤其是来自与汽车配对的手机的信息,比如联系人信息。这种做法非常普遍,以至于美国联邦贸易委员会向司机发出警告,提醒他们不要将设备与租车配对,并敦促他们在归还租车或出售自己的汽车之前,学会如何清理自己的汽车系统。
但研究人员的发现却强调了特斯拉是如何在隐私和网络安全方面自相矛盾的。一方面,特斯拉紧紧掌握着汽车生成的数据,并在法庭上与那些要求他们交出汽车数据的客户进行对峙。如果车主真的是处于法律、保险等原因需要这些汽车数据的话,他们必须购买价值995美元的数据线,并从特斯拉下载一套软件,才能通过特斯拉的“事件数据记录仪”获取有限的信息。
与此同时,被送往维修的特斯拉事故车可能会向任何掌握了汽车电脑并知道如何提取数据的人提供未经加密的个人信息。
这种对比引起了人们的疑惑,即特斯拉是否明确界定了数据安全的目标,以及它现有的规则旨在保护哪些人。
一位特斯拉发言人说道:“特斯拉已经为客户提供了一些选择,客户可以用这些方法来保护存储在他们汽车上的个人数据,其中包括一个恢复出厂设置选项,这个选项可以删除个人数据,将自定义设置还原成工厂默认值,还可以提供一个在其它功能上可以隐藏个人数据的Valet模式。也就是说,我们始终致力于在技术车辆需求和客户隐私之间寻找一种平衡,并努力改善这种平衡。”
你的特斯拉知道些什么
存储在Model S、Model X或Model 3上的数据,不会在汽车被拖离事故现场或拍卖时自动删除。根据GreenTheOnly的研究,这意味着个人信息仍然保留在汽车上,并且可能会被下一位拥有这辆汽车或汽车的某些部件的人获取。
特斯拉有时会雇用一家名为Manheim的汽车拍卖公司来检查、维修和销售二手特斯拉车。一位不愿透露姓名的Manheim前员工证实,员工并不会用恢复出厂设置来抹去汽车电脑里的信息。Manheim对此拒绝置评。
GreenTheOnly的“白帽黑客”好友Theo也是一位特斯拉的支持者,他曾修复了数百辆受损的特斯拉汽车。出于研究的目的,他们两个人在去年年末买了一辆全白色Model 3。他们发现这辆车曾属于大波士顿地区的一家建筑公司,并被在那里工作的人使用。该建筑公司没有回复记者的多次采访请求。
这两位研究人员分享的记录显示,这辆车的电脑至少存储了17种不同设备的数据。而这些数据都没有加密。
手机或平板电脑与这辆汽车配对的次数约为170次。这辆Model 3里存有11本通讯电话簿,全都来自于那些将自己的设备和汽车相配对的司机或乘客,这其中还包括含有计划约会描述的日历信息,以及电子邮件地址。
汽车电脑里的数据还显示了司机的最后73个导航位置,包括住宅地址、Wequassett度假村和高尔夫俱乐部,以及当地的Chik-Fil-A和家得宝(Home Depot)。
紧接着,就是这辆车的车祸数据。
从失事的Model 3中提取的视频片段显示,这辆车从右车道疾驰而出,撞进了一条昏暗的双车道公路左侧的树林里。
GPS系统和其他车辆捕捉到的数据显示,这起事故发生在马萨诸塞州奥尔良的Namequoit路上,时间是8月11日晚上11点15分,并且严重到了需要使用安全气囊的地步。
通话记录显示,事故发生时车里的一部iPhone手机属于一位拥有这辆Model 3的公司的创始人兼董事长的亲属。研究人员还发现,就在事故发生前不久,根据来电记录显示,一名司机的家庭成员曾给这位司机打过电话。
而另一段储存在车内的视频显示,早些时候这辆车就曾发生过一起事故,曾经侧滑了一根护栏。
“在马路上移动的电脑”
总的来说,汽车已经变成了“在马路上移动的电脑”。它们可以从用户的移动设备中收集个人数据,从而提供“信息娱乐”功能或服务。汽车产生的额外数据使先进的驾驶员辅助系统成为可能,并对其进行培训。与特斯拉自动驾驶仪竞争的主要汽车制造商包括通用汽车的凯迪拉克超级巡航、日产英菲尼迪的ProPilot Assist和沃尔沃的Pilot Assist系统。
但GreenTheOnly和Theo指出,特斯拉车的仪表盘摄像头和自拍摄像头可以记录汽车停放时的情况,即使是在你的车库里,车主也无法知道他们什么时候会这样做。这些摄像头支持“哨兵模式”等理想功能,比如说,它们还能让雨刷“看到”雨滴并自动开启。
GreenTheOnly解释说:“特斯拉在有些方面也不是超级透明,比如说,他们要在内部系统上记录和存储什么以及什么时候来记录和存储。您可以选择退出所有数据收集,但随后你就失去了无线软件更新和其它一些功能。所以,可以理解的是,没有人这么做,我也只能不情愿地接受这个现实。”
Theo和GreenTheOnly还表示,Model 3、Model S和Model X在发生撞车事故时,会尝试向特斯拉上传自动驾驶仪和其他数据。这些汽车有能力上传其它数据,但研究人员不知道他们是否以及在什么情况下尝试这样做。
特斯拉以技术领先和对白帽黑客友好著称。
例如,特斯拉是第一家为其汽车提供空中下载技术更新的汽车制造商。首席执行官埃隆·马斯克出席了DefCon等网络安全大会,这令参加会议的代码“创造者和破坏者”十分高兴。
该公司是为数不多的几家向其网络公开招揽网络安全专业人士的大公司之一,它们敦促那些发现特斯拉系统缺陷的人有序地报告这些缺陷。此举给了该公司在问题被披露前修复问题的时间。特斯拉通常会向发现并成功报告这些缺陷的个人支付5位数的奖金。
BugCrowd的首席安全官David Baker指出,即便在PayPal时代,CEO埃隆·马斯克也是这种众包安全研究的早期支持者。BugCrowd是特斯拉管理自己的“漏洞奖励”项目的平台。
然而,据两名要求匿名的特斯拉前服务人员称,当车主试图分析或修改自己车辆的系统时,公司可能会将他们标记为黑客,让特斯拉员工对他们的技术保持警惕。然后特斯拉会确保这些被标记的人不是第一批获得新软件更新的人。
Baker对此表示理解。他说:“特斯拉必须防范那些试图对其软件进行逆向工程,或进行恶意黑客攻击的人。他们不能将汽车电脑上的这些数据抹去。法医可能需要和保留这些数据。但我认为他们想要做的是研究出一个新的方法,让所有存储的数据都被加密,就像在手机上那样。”