首页 > 社会新闻

你的隐私正在“裸奔”!特斯拉被曝储存大量未加密个人数据

文章作者:来源:www.787store.com时间:2020-01-14



特斯拉是否明确定义了数据安全的目标?它现有的规则保护谁?

如果你不幸撞毁了你的特斯拉汽车,当它被扔进垃圾堆时,它可能会带着你的历史信息。

据两名安全研究人员称,这是因为特斯拉汽车上的电脑存储了司机自愿存储在汽车上的所有信息,以及汽车本身留下的大量其他信息,包括视频、位置和导航数据,可以准确解释事故原因。

一名自称绿色的研究人员只称自己是一名“白帽黑客”和驾驶x光汽车的特斯拉发烧友。他从一辆获救的特斯拉S型车、X型车和两辆3型车的电脑中提取了这些数据,近年来还从特斯拉的臭虫奖金中赚取了数万美元。

许多其他汽车实际上下载并存储来自用户的数据,尤其是来自与汽车配对的手机的信息,如联系信息。这种做法如此普遍,以至于美国联邦贸易委员会警告司机不要将设备与租赁汽车配对,并敦促他们在归还租赁汽车或出售汽车之前学会如何清理汽车系统。

但是研究人员的发现强调特斯拉在隐私和网络安全方面是如何自相矛盾的。一方面,特斯拉严格控制汽车产生的数据,并在法庭上质问要求他们交出汽车数据的顾客。如果车主出于法律、保险等原因确实需要这些汽车数据,他们必须购买价值995美元的数据线,并从特斯拉下载一套软件,通过特斯拉的“事件数据记录器”(event data recorder)获取有限的信息。

与此同时,特斯拉送去维修的事故车可能会向任何掌握汽车电脑并知道如何提取数据的人提供未加密的个人信息。

这种比较让人怀疑特斯拉是否已经明确定义了数据安全的目标,以及它现有的规则打算保护谁。

特斯拉发言人说:“特斯拉已经为客户提供了一些选择。客户可以使用这些方法来保护存储在汽车上的个人数据,包括恢复出厂设置的选项。此选项可以删除个人数据,将自定义设置恢复到出厂默认值,还提供代客模式,可以在其他功能中隐藏个人数据。换句话说,我们始终致力于在技术车辆需求和客户隐私之间找到平衡,我们正在努力改善这种平衡。”

特斯拉知道什么

当汽车被拖出事故现场或拍卖时,存储在型号S、型号X或型号3上的数据不会自动删除。根据绿色唯一研究,这意味着个人信息保留在汽车上,并可能被拥有汽车或汽车某些部件的下一个人获取。

特斯拉有时会雇佣一家名为曼海姆的汽车拍卖公司来检查、修理和销售二手特斯拉汽车。一名拒绝透露姓名的前曼海姆员工证实,该员工不会通过恢复工厂设置来删除汽车电脑中的信息。曼海姆拒绝置评。

GreenTheOnly的“白帽黑客”朋友西奥也是特斯拉的支持者,他修理了数百辆损坏的特斯拉汽车。出于研究目的,他们俩在去年底买了一辆全白的3型车。他们发现这辆车属于大波士顿地区的一家建筑公司,被那里的工作人员使用。建筑公司没有回应多次的采访要求。

两位研究人员共享的记录显示,汽车的电脑存储了至少17种不同设备的数据。这些数据没有加密。

手机或平板电脑与这辆车的匹配次数约为170次。模型3包含11本电话簿,全部来自司机或乘客,他们的设备与汽车相匹配,包括日历信息,以及计划约会的描述和电子邮件地址。

汽车电脑中的数据还显示了司机的最后73个导航位置,包括住宅地址、韦克塞特度假村和高尔夫俱乐部,以及当地的奇克菲尔阿和家得宝。

然后,还有这辆车的交通事故数据。

从失事的3号模型拍摄的视频片段显示,汽车冲出右车道,驶入黑暗的双车道公路左侧的树林。

全球定位系统和其他车辆捕获的数据显示,事故发生在8月11日晚上11点15分,地点在马萨诸塞州奥尔良市的纳姆科伊特路(Namequoit Road),严重到需要使用安全气囊。

通话记录显示事故发生时车里的一部苹果手机属于拥有3型手机的公司创始人和董事长的一个亲戚。研究人员还发现,事故发生前不久,根据通话记录,一名司机的家人给司机打过电话。

储存在车里的另一段视频显示,这辆车之前出了车祸,撞上了护栏。

“在路上移动的电脑”

一般来说,汽车已经成为“在路上移动的电脑”。他们可以从用户的移动设备收集个人数据,以提供“信息娱乐”功能或服务。汽车产生的额外数据使得开发和训练先进的驾驶员辅助系统成为可能。与特斯拉自动驾驶仪竞争的主要汽车制造商包括通用汽车的凯迪拉克超级巡航系统、日产汽车在菲尼迪的Propilot助手系统和沃尔沃的飞行员助手系统。

但是格林唯一和西奥指出特斯拉的仪表盘摄像头和自拍摄像头可以记录汽车何时停放,甚至在你的车库里,车主也不知道他们什么时候会这样做。这些相机支持理想的功能,如“哨兵模式”。例如,它们还可以让雨刷“看到”雨滴,并自动开启它们。

GreenTheOnly解释道:“特斯拉在某些方面不是超级透明的,例如,他们想在内部系统上记录和存储什么,以及何时记录和存储。您可以选择退出所有数据收集,但是您会失去无线软件更新和其他功能。因此,没有人这样做是可以理解的,我只能勉强接受这一现实。”

Theo和GreenTheOnly还说,3型、S型和X型会在撞车时尝试上传自动驾驶仪和其他数据给特斯拉。这些汽车有上传其他数据的能力,但是研究人员不知道他们是否以及在什么情况下试图这样做。

特斯拉以其领先的技术和友好的白帽黑客而闻名。

例如,特斯拉是第一家为其汽车提供无线技术更新的汽车制造商。首席执行官埃隆马斯克(elon musk)出席了DefCon等网络安全会议,这让代码“创造者与毁灭者”非常开心。

该公司是少数几家公开从其网络中招揽网络安全专家的大公司之一,他们敦促那些发现特斯拉系统缺陷的人有序地报告他们。这一举措让公司有时间在问题暴露之前解决问题。特斯拉通常向发现并成功报告这些缺陷的个人支付5位数的奖金。

BugCrowd的首席安全官大卫贝克(David Baker)指出,即使在贝宝时代,CEO埃隆马斯克也是这项众包安全研究的早期支持者。BugCrowd是特斯拉管理自己的“漏洞奖”计划的平台。

然而,据两名要求不透露姓名的特斯拉前服务人员称,当车主试图分析或修改他们的汽车系统时,公司可能会给他们贴上黑客的标签,让特斯拉员工对他们的技术保持警惕。特斯拉将确保被标记的人不是第一个获得新软件更新的人。

贝克明白这一点。他说:“特斯拉必须防范那些试图逆向工程其软件或实施恶意黑客攻击的人。他们不能从汽车电脑上删除这些数据。法医学可能需要并保留这些数据。但我认为他们想做的是找到一种新的方法来加密所有存储的数据,就像在手机上一样。”

[本文由合作媒体授权的投资界转载。这篇文章的版权属于原作者和原出处。这篇文章是作者的个人观点,并不代表投资界的立场。请联系原始作者和原始来源以获得授权。如果您有任何问题,请联系(editor