本文来自微信民众号:大数据文摘(ID:BigDataDigest),作者:刘俊寰、千雪,题图来自:视觉中国
作为让日本工程师赞不绝口的汽车业龙头,特斯拉的一举一动始终都是媒体关注的焦点,疫情时代,马斯克的一系列疑惑言论更是让特斯拉赚足了眼球。
不外,文摘菌今天要说的不是特斯拉优异的系统,也不是马斯克,而是特斯拉克日被曝出的系统安全问题。
在车载信息娱乐上,特斯拉称第二,生怕还没人敢称第一,用户不仅可以毗邻Wi-Fi播放Netflix和YouTube,或是打开Spotify,还能存储联系人的电话号码,可以说特斯拉的车载娱乐壮大到了怒不可遏的境界。在享受便利之前,用户必须输入大量小我私家信息。而让人没想到的是,正是这些存储在特斯拉媒体控制单元(MCU)的信息,正成为隐私数据泄露的源头。
克日,一位自称为“对事物若何运作感应好奇的特斯拉修补匠”的黑客greentheonly发现,只管这些媒体控制单元已经被特斯拉技术人员手工拆除,但其仍存储着用户大量敏感信息,包罗但不限于和手机毗邻的电话本、通话纪录、日历项目、Spotify和Wi-Fi密码、家庭和事情地址的定位、导航去过的位置,以及允许接见Netflix和YouTube(另有附加的Gmail帐户)的会话cookies。
更恐怖的是,这些媒体控制单元能在eBay上以并不昂贵的价钱买下。黑客示意,最近他收了13个特斯拉媒体控制单元,这些都是在特斯拉电动车在维修和翻新时代,事情人员亲手拆除的。
对于特斯拉车主们来说,这意味着什么呢?有网友做了一个实验,他从特斯拉ICE电脑上获得了一位车主的电话号码和地址,随后很轻松地开走了Model 3,厥后他们通过电子邮件与车主取得了联系。车主示意:“太恐怖了!我确实有一辆Tesla 3,最近刚好在当地服务中心升级到了Hardware 3。”
现在,特斯拉仍未针对此事有所回应。
铁锤也敲不坏的硬件,正成为事情人员的“外快”
在发现特斯拉的媒体控制单元在eBay上公然出售时,有人曾试图联系特斯拉的事情人员,他们都没有给出任何回复。据一位相关人士示意,特斯拉内部的划定,在扔掉旧盘算机或者对其举行报废处置前,事情人员要先损坏它们。
greentheonly透露道,特斯拉官方程序要求的是,在将拆下的媒体控制单元扔进垃圾桶之前,事情人员要么把部件完好无损地寄回给总部,要么用铁锤捶打一番,确定接口被彻底破坏。
但greentheonly在采访中示意,有些服务中心的员工可能在控制单元内部创建了一个销毁/处置纪录,以便更方便地转让这些控制单元。他曾在垃圾打捞场听到有人悄悄说道,出售特斯拉的媒体控制单元是他们收入泉源的一部分。
在eBay上举行检索,能看到不少相关的商品信息,多方对照后发现,被铁锤捶打过的控制单元订价要低些,买家甚至可以用10美元的低价购入满满一盒的量。相反,未遭损坏的完整控制单元售价也就更高。
我们也就可以勇敢预测,趋势那些员工不使用铁锤销毁这些控制单元的,可能是经济因素。
greentheonly示意,现在他手上共有13个特斯拉的媒体控制单元,其中12个都是在eBay上买到的,另外一个是从同伙那里收购的。
这13个控制单元的最后定位点显示是在特斯拉服务中心,这表明这些操作都是由特斯拉授权完成的。特斯拉服务站拆卸媒体控制单元的缘故原由有许多,最常见的是替换故障装备,或者对装备举行升级更新,以改善车辆的自动驾驶系统。
对于特斯拉来说,比起直接销毁,或者收取1000美元的保管费,特斯拉可以有能力在抹去这些数据的基础上,以低价将其作为翻新品重新出售。更何况,不少控制单元完全不需要任何物理维修,由于许多车主往往习惯于预防性地举行维护,或者想要试用新功效。
或者,特斯拉也可以把这些盘算机送去给认证商家先行处置后,再举行转售。但由于种种缘故原由,特斯拉并没有这样做,或许他们以为不值得这么做。不外,除了数据隐私问题外,这样的做法也比直接扔垃圾箱更环保、更保险。
特斯拉若何最先周全陷落的?
在特斯拉Model S和Model X上,MCU和自动驾驶硬件是自力的盘算机,不外在Model 3和Model Y上,这些盘算机被连系在一块硬件上,黑客们将其称为ICE。
对于差别的车型,盘算机需要替换的缘故原由也就不尽相同。对于Model S和Model X来说,老款车的MCU时常需要替换,由于第一代被称为MCUv1的MCU有过分纪录的问题,使用四五年后就会故障。此前车主们也提出相关的升级申请,要求特斯拉改装其第二代MCU(MCUv2),特斯拉的处置方式是用全新或翻新的MCUv1替换。
随后,特斯拉回应示意,已对MCUv1举行了改装,改装后缺陷就可以被修复。不外令人惊讶的是,不少人发现,MCUv2单元也泛起了故障,但可能是EMMC芯片的制造问题。
不管是MCUv1照样MCUv2,都涉及到了的隐私问题。
对于Model 3,若是车主购买了完全自动驾驶(Full Self Driving,FSD)套件,旧车上的ICE电脑就需要升级。特斯拉已经有多个版本的HW盘算机控制Autopilot,并启用了完全自动驾驶功效,只有最新的HW 3.0才气为最新的FSD功效提供动力。
特斯拉曾答应,2019年4月22日之后生产的所有汽车都将配备HW 3.0,但在良久之后,Model 3配备的仍然是早期的HW盘算机。
无论哪种方式,若是购买了FSD,任何没有最新HW盘算机的Model 3都需要替换整个ICE组件。虽然HW盘算机上也没有小我私家数据,但它与Model 3中的MCU电脑连系在一起,正是后者储存了车主的小我私家数据。
有人从特斯拉Model 3车型上获得了三台ICE盘算机,除此之外,他还得到了一台Model X MCUv2,虽然后者被损坏了,但数据仍然可以恢复。
“这些装备在eBay上的价钱从最先的500多美元降到300美元,然后是200美元再到150美元,越来越多的人最先买来研究,但实在这些控制单元在汽车维修中并没有什么用处。由于相关事情尚需要专业知识,有人求助于我和其他的黑客,也有企业让我把数据提取出来,用以指导研究。这时,我才意识到发生了数据泄露,随后我在eBay上购买了一台装备,确认了它的事情原理与此完全一样。”
早在2019年3月,凭据CNBC报道,有网友发现,经由处置后的特斯拉硬件中仍然存有用户数据。那时,特斯拉示意,车主可以恢复出厂设置,删除敏感数据,若是恢复出厂设置有用自然是好的,然则现在似乎已经无法适用了。
要革新盘算机,只能在特斯拉服务中心或通过移动服务部门才气举行,因此在拥有新车后,车主会希望将其所有小我私家数据传输到新盘算机。事实上,特斯拉也会将旧盘算机中的数据传输到新盘算机。然则,一旦将原始盘算机从车辆上卸下后,车主也就失去了抹除其数据的权力。
这就像保修替换一样,在执行FSD革新时车主不必保留旧零件,特斯拉声称这是免费的。当举行MCUv2升级或在尚未提供这种革新必须将MCUv1替换为另一版本时,情形就不一样了。TMC论坛上有一个帖子示意,你可以支付1,000美元的“焦点用度”来保留旧盘算机。
但现在仍然无法联系到特斯拉举行证实。
岌岌可危的汽车数据
greentheonly以为,一定要让特斯拉车主意识到他们正在承担着什么样的风险。这件事意味着,险些所有这种装有小我私家数据或提供远程追踪功效的车载装备,都市让用户处于隐私泄露的风险之中。
好比福特,有网友示意,自己从汽车租赁公司租用福特汽车,但在他送还汽车后很长一段时间内,他都还可以对汽车举行远程的启动、住手、锁定和解锁。而且这样的行为可以多次发生,在第一次远程控制的四个月之后,他乐成举行了第二次远程控制。
就像特斯拉重新投放市场的媒体控制单元一样,汽车租赁公司未能要求员工完全消除车载系统中前一位客户的所有数据。这些可能对用户数据组成风险的行为,本应该被制止。
以上这些事的关键在于,纵然由用户自己来决议是否在出售汽车、送还租赁车辆或维修车载系统时恢复出厂设置,仍然无法保证用户以前存储的数据一定不会被恢复。
这位黑客还说,特斯拉媒体控制单元将信息保存在SQLite数据库中,直到存储用户信息的硬盘驱动器被新数据笼罩,之前的信息才会被删除。虽然恢复出厂设置并非万无一失,但足以使恢复数据的历程变得难题且相当耗时,因此也可以算作一种对照有意义的(只管并不完善)防御措施。
固然,真正有安全意识的人,应该彻底摧毁控制单元。
相关报道:
https://arstechnica.com/cars/2020/05/hacker-mines-passwords-locations-and-more-from-retired-tesla-infotainment-gear/
https://insideevs.com/news/419525/tesla-data-leak-personal-info-ebay/
本文来自微信民众号:大数据文摘(ID:BigDataDigest),作者:刘俊寰、千雪
版权保护: 本文由 原创,转载请保留链接: http://www.allart.com.cn//cms/2020/0515/1845.html