大渡口资讯网
国内新闻
当前位置: 首页 >> 国内新闻 >> 正文

特斯拉车辆被曝储存大量个人和未加密信息 包括匹配设备联系人


文章作者:www.vivapinoy.com 发布时间:2020-01-31 点击:852



3月30日,据国外媒体报道,两名安全研究人员最近透露,在垃圾场和拍卖场出售的特斯拉汽车存储了大量个人和未加密数据,包括司机匹配的移动设备信息和事故发生前的场景视频。

两位安全研究人员表示,特斯拉汽车上的电脑保存了司机自愿存储在汽车中的所有信息,以及汽车产生的大量其他信息,包括视频、位置和导航数据,准确显示了事故原因。

自称“绿神”(GreenTheOnly)的研究人员表示,他是一名“白帽黑客”,是特斯拉X型的忠实粉丝,绿神只从坠毁的特斯拉S型、X型和3型电脑中提取了这类数据,并在最近几年利用特斯拉漏洞奖励计划赚了数万美元。出于隐私的考虑,他同意以假名接受CNBC的采访,并与CNBC分享数据和视频。

图1:特斯拉CEO埃隆马斯克(Elon Musk)

许多其他汽车也下载并存储来自用户的数据,尤其是来自匹配手机的车主的信息,如联系信息。这种做法非常普遍,以至于美国联邦贸易委员会(FTC)警告司机不要将设备与租赁汽车配对,并敦促他们在归还租赁汽车或出售自己的汽车之前,学会清理汽车系统上的数据。

但是研究人员的发现凸显了特斯拉在隐私和网络安全之间的矛盾。一方面,特斯拉牢牢掌握着汽车产生的数据,并在法庭上与客户进行斗争,要求他们不要放弃汽车数据。所有者必须购买价值995美元的电缆,并从特斯拉下载一套软件。由于法律、保险或其他原因,特斯拉在必要时可以通过“事件数据记录器”从汽车上获得有限的信息。

与此同时,被送去修理的坠毁特斯拉汽车可以向任何拥有汽车电脑并知道如何提取信息的人提供未加密和个人泄露的数据。这一比较引发了特斯拉是否已经明确定义了数据安全的目标以及现有规则将保护谁的问题。

Tesla的发言人表示:“Tesla提供了许多可供客户用来保护存储在汽车上的个人数据的选项,包括删除个人数据和将自定义设置恢复到出厂默认设置的出厂重置选项,以及在向valet提供钥匙时隐藏个人数据(和其他功能)的‘代客模式’。然而,我们始终致力于在车辆的技术要求和客户隐私之间找到平衡,并逐步加以改进。”

特斯拉知道什么信息

存储在特斯拉S型、X型和3型车辆上的数据不会在车辆退出事故现场或拍卖时自动删除。格林豪泰(GreenTheOnly)的研究表明,这意味着个人数据的细节被保存在汽车上,并且可以被拥有汽车或其某些部件的人深深挖掘出来。

特斯拉有时会雇佣一家名为曼海姆的汽车拍卖公司来检查、修理和销售二手车。一名拒绝透露姓名的前曼海姆员工证实,员工不会通过恢复工厂设置来删除汽车电脑上的数据。曼海姆拒绝置评。

去年底,绿神唯一和特斯拉支持者白帽黑客西奥为了研究目的购买了一辆坠毁的白色模型3。西奥修理了数百辆失事的特斯拉汽车。他们发现这辆车属于大波士顿地区的一家建筑公司,被那里的工作人员使用。建筑公司没有回应置评请求。

图2:安全研究人员购买了坠毁的模型3,以评估事故发生后留在汽车电脑里的数据。

研究人员与CNBC分享了记录,记录显示汽车的电脑存储了至少17种不同设备的数据,这些数据没有加密。手机或平板电脑已经和汽车匹配了大约170次。模型3存储了11本电话簿的联系信息,这些信息来自与该设备配对的司机或乘客,日历条目中对计划会议的描述,以及受邀者的电子邮件地址。CNBC给几个手机和汽车匹配的人打了电话,并给他们发了电子邮件,发现信息是真实的。

数据还显示了司机最新的73个导航位置,包括住宅地址、韦克塞特度假村、高尔夫俱乐部以及当地的奇克菲尔阿和家得宝的位置。然后,发生了一起车祸。这个取自碰撞模型3的视频显示了汽车从右侧车道快速驶入左侧树林中一条黑暗的双车道路线。

全球定位系统和其他车辆数据显示,事故发生在8月11日晚上11点15分,地点是马萨诸塞州奥尔良市的南约伊特科特路。事故严重到足以让安全气囊展开。

电话记录显示事故发生时车里的苹果手机属于拥有模型3的公司创始人和董事长的亲属。研究人员发现,就在汽车坠毁前,通话记录显示一名家庭成员称其为3型车的司机。

储存在车上的另一段视频显示,早前这辆车发生了其他事故,3型车打滑撞到护栏上。

轮子上的电脑

一般来说,汽车已经变成轮子上的电脑,从用户的移动设备获取个人数据,从而实现“信息娱乐”功能或服务。汽车产生的额外数据用于支持和训练高级驾驶员辅助系统。与特斯拉自动驾驶仪竞争的主要汽车制造商包括通用汽车的凯迪拉克超级巡航系统、日产英菲尼迪的普莱洛特辅助系统和沃尔沃的飞行员辅助系统。

但是格林唯一和西奥指出,在特斯拉,仪表盘摄像头和自拍摄像头可以记录汽车停放时的信息,甚至在你的车库里,车主甚至不知道他们什么时候会这样做。这些相机支持理想的功能,如“哨兵模式”。当“看到”雨滴时,这些相机可以控制雨刷自动开启。

格林特利解释道:“特斯拉不是超级透明的。它不知道他们的相机什么时候记录什么,以及他们在内部系统中存储了什么。你可以选择退出所有的数据收集活动,但是你会失去“无线软件更新”和许多其他功能。因此,没人会这样做是可以理解的,我不情愿地接受了。”

theo和GreenThely还表示,一旦发生事故,3型、S型和X型车辆会尝试将自动驾驶仪和其他数据上传到特斯拉。这些交通工具有上传其他数据的能力,但是研究人员不知道他们是否以及在什么情况下会尝试这样做。

特斯拉以其尖端技术和友好的白帽黑客而闻名。例如,该公司是第一家“更新”空中汽车的汽车制造商。首席执行官埃隆马斯克(Elon Musk)出席了DefCon等网络安全会议,这让出席会议的“代码开发者和破坏者”兴奋不已。

特斯拉是少数几家公开吸引网络安全专家加入其网络的大公司之一,并呼吁那些发现特斯拉系统缺陷的人有序地报告这些漏洞。这让公司有时间在问题曝光前解决它。特斯拉定期向发现并成功报告这些缺陷的个人支付高达数万美元的奖金。

特斯拉的BugCrowd平台首席安全官大卫贝克(David Baker)负责管理“漏洞奖励”计划,他指出,即使在支付服务贝宝时代,马斯克也是这项众包安全研究的早期支持者。

然而,据两名要求匿名的特斯拉前服务员工称,当车主试图分析或修改他们的汽车系统时,公司可能会将他们标记为黑客,并提醒特斯拉注意他们。特斯拉将确保被标记的人不是第一个获得新软件更新的人。

贝克说:“特斯拉真的必须防范那些试图逆向工程软件或实施恶意黑客攻击的人。他们不能只是清理车上的数据。这些汽车实际上是计算机,调查人员可能需要保存数据。但我认为他们想研究的是加密所有存储数据的方法,就像在你的手机上一样。”

(资料来源:腾讯科技修订版:陆瑾)

下一条: 合肥高新区素质教育实践基地暨青少年活动中心揭牌