特斯拉曝出安全Bug:舊零件在二手網(wǎng)站賤賣,上邊全是用戶隱私數(shù)據(jù)

力琴
隨著汽車技術(shù)不斷發(fā)展,讓智能汽車的使用在便捷性與安全性之間存在天然的矛盾,如何在收集數(shù)據(jù)的同時規(guī)避安全風險,成為汽車消費者和汽車制造商的主要關(guān)注點。

前不久,國產(chǎn)特斯拉Model 3降價讓許多國內(nèi)車主興奮不已,但與此同時特斯拉也在系統(tǒng)宕機、隱私漏洞問題上“栽了跟頭”,成為車主口誅筆伐的對象。值得注意的是,特斯拉安全漏洞和App大面積宕機事件并非首次發(fā)生。智能汽車頻頻出現(xiàn)安全隱患,車聯(lián)網(wǎng)時代下的汽車安全如何保障?

很多人把特斯拉形容為一輛帶著輪子的安卓手機,可以使用移動應用程序來解鎖和鎖定汽車。在車聯(lián)網(wǎng)時代,網(wǎng)絡的便捷讓各類智能化服務成為可能,汽車也可以像智能手機一樣,通過更新軟件從而獲得新的功能。

但是最近,特斯拉在智能化以及安全方面的表現(xiàn)并不理想。先是特斯拉被國外黑客被爆存在泄漏隱私的風險,暗藏在車載計算機系統(tǒng)屏幕背后的媒體控制單元(MCU),正成為用戶隱私數(shù)據(jù)泄露的源頭。

后是國內(nèi)車主吐槽特斯拉 App 出現(xiàn)大面積宕機情況,車主無法獲取車輛信息、無法點亮車內(nèi)儀表盤、中控屏,只能黑屏「盲開」。雙重事件夾擊,讓剛被吐槽先漲價后降價的特斯拉迅速成為關(guān)注的焦點,也逐步放大了智能汽車的缺點。

含隱私組件正在二手網(wǎng)站上售賣

一位白帽黑客格林近日曝光特斯拉的車載計算機系統(tǒng)可能會導致個人隱私的泄漏。

特斯拉的車載計算機系統(tǒng)屏幕非常大,包含收音機、藍牙電話、上網(wǎng)、刷劇、斗地主等功能。你可以在這里享受一切線上娛樂,可以用藍牙連接播放音樂,也可以連接 Wi-Fi 播放 Netflix 和 YouTube,或是打開 Spotify,還能存儲聯(lián)系人的電話號碼。

但是讓人沒想到的是,暗藏在車載計算機系統(tǒng)屏幕背后的組件,正成為隱私數(shù)據(jù)泄露的源頭。這位白帽黑客從 eBay 上買到了被換下來的 AP 和 MCU(MCU 是媒體控制單元,用于控制車機功能以及儲存?zhèn)€人數(shù)據(jù))。盡管這些組件已經(jīng)有明顯損壞跡象,但是仍能夠從中獲得之前車主的隱私。

這些信息包括手機連接的電話本、通話記錄、日歷項目、Spotify 和 Wi-Fi 密碼、家庭和工作地點的定位、導航去過的位置,以及允許訪問 Netflix 和 YouTube(還有附加的 Gmail 帳戶)的會話 cookies。

為什么這些 MCU 能夠被入侵從而獲得個人信息?據(jù)了解,特斯拉基于 Linux 內(nèi)核搭載 MCU,MCU 使用的是鎂光生產(chǎn)的 eMMC 存儲顆粒,問題出在特斯拉的系統(tǒng)設(shè)計上:特斯拉的 Linux 車機系統(tǒng)并沒有對這塊 eMMC 硬盤進行任何的加密處理。

據(jù)公眾號差評介紹,要想讀取這顆存儲顆粒的內(nèi)容的話,可以把它拆下來放在一個 eMMC 轉(zhuǎn) usb 的設(shè)備上,連接電腦后,按照提取信息的教程就能獲得里面的全部信息。

由于特斯拉的車機系統(tǒng)沒有對硬盤進行數(shù)據(jù)加密,替換下來的老舊硬件如果被其他人利用,可以讀取原車主留下的全部數(shù)據(jù)。比如通過常用的導航目的地推算住址、工作單位;利用通訊錄撥打廣告、詐騙電話;使用社交帳號與密碼進行盜號等。

更為可怕的是,這些組件都能在 eBay 上以并不昂貴的價格買下?!高@些構(gòu)件在 eBay 上的價格從 150 美元、200 美元到 300 美元、500 多美元不等,越來越多的人開始購買它們進行研究?!惯@位黑客談到。

要想從這些舊組件中提取數(shù)據(jù),需要專業(yè)知識,其中一些人或機構(gòu)開始求助黑客的幫助,幫助提取數(shù)據(jù)并進行研究。尚不清楚這些「研究者」的目的,不過可以肯定的是,舊組件暗藏隱私數(shù)據(jù)暴露的風險。

為什么這些舊組件會在網(wǎng)上出售?據(jù)一位相關(guān)人士表示,特斯拉內(nèi)部的規(guī)定,在扔掉舊計算機或者對其進行報廢處理前,工作人員要先破壞它們。黑客猜測有可能是特斯拉工作人員對它們的損害不足以防止其再次使用,這些被丟棄的組件被其他人轉(zhuǎn)手出售以獲利。

不只是國外二手網(wǎng)站,國內(nèi)二手網(wǎng)站也出售這一類組件。據(jù)機器之心了解,閑魚上有人出售拆車儀表臺屏幕、mcu、充電器等,售價 2888 元。另外,也有賣家將因多次黑屏無法繼續(xù)使用而換下來的中控屏幕 MCU 總成(指配件及其附屬設(shè)施的稱謂)掛在閑魚上售賣,售價 1000 元。

機器之心向這位賣家詢問,為何出售無法繼續(xù)使用的中控屏幕,對方回應稱,「應該有人用得到,比如用于解刨?!怪劣诮馀儆猛荆瑢Ψ轿磳Υ死^續(xù)回應。

以為升級就沒事了?

在此事發(fā)生之后,國內(nèi)車主普遍反映對自身影響不大,認為升級到 HW 3.0 就可以避免隱私泄漏問題。

實際上,車主在升級到 HW3.0 的過程中 ICE 也在更換,以前的信息也會被替換。據(jù)了解,特斯拉的電腦分為 MCU 和 HW(HW 是控制自動駕駛硬件,用于自動駕駛時計算數(shù)據(jù)),這兩個東西在 Model 3、Model Y 上是放在同一個模塊里,其實就是 HW2.5 升級到 HW3.0 更換的模塊。在特斯拉最新推出的車機結(jié)構(gòu)中,將原本的 MCU 與 HW 集成一體化,統(tǒng)稱為 ICE。

這些個人信息的泄露主要來源為 Model S 和 X 上的 MCU 媒體控制單元,以及 Model 3 和 Y 上的一體化集成 ICE 部件。

2020 年 3 月,特斯拉宣布可以為在 2018 年 3 月或更早之前生產(chǎn)的 Model S 以及 Model X 提供 MCU 1 升級到 MCU 2 的服務。升級費用為 2500 美元(包含稅費以及安裝費)。

另外,特斯拉還聲稱 2019 年 4 月 22 日后生產(chǎn)的車型都配備 HW 3.0 部件,但實際上之后生產(chǎn)的許多 Model 3 都配備較低版本的 HW。如果想享受完全自動駕駛功能,這些用戶就需要更換 ICE。

正是這些暗藏隱患的舊組件,讓個人隱私泄露埋下了炸彈。此前,黑客格林就從二手網(wǎng)站上購買了三臺來自特斯拉 Model 3 的 ICE 計算機以及一個來自 Model X 的 MCUv2 單元,雖然 MCUv2 的構(gòu)件已經(jīng)被粉碎,但是數(shù)據(jù)仍然可以恢復。

據(jù)了解,特斯拉系統(tǒng)使用的是 SQLite 數(shù)據(jù)庫。對于 SQLite 數(shù)據(jù)庫,只有當硬盤驅(qū)動器上的特定模塊被新信息覆蓋重寫后,原有信息才會真正刪除?;謴统鰪S設(shè)置僅意味著特斯拉的操作系統(tǒng)將釋放該特定模塊上的空間。但已經(jīng)寫入的數(shù)據(jù)仍保留在那里,直到系統(tǒng)重新寫入數(shù)據(jù)后,原先的數(shù)據(jù)才會清除。這樣的方式也讓其他人獲取數(shù)據(jù)更加便捷。

之前就有網(wǎng)友做過一個實驗,他從特斯拉 ICE 電腦上獲得了一位車主的電話號碼和地址,隨后很輕松地開走了 Model 3,后來他們通過電子郵件與車主取得了聯(lián)系。車主表示:「太可怕了!我確實有一輛 Tesla 3,最近剛好在當?shù)胤罩行纳壍搅?Hardware 3?!?/p>

目前國內(nèi)尚未出現(xiàn)特斯拉舊組件被爆隱私泄漏的事情。多數(shù)特斯拉車主對隱私泄露一事并不敏感,比起聯(lián)網(wǎng)智能車泄漏隱私,其實那些車主更愿意傾向于,貸款買車和購買保險環(huán)節(jié)泄漏了個人隱私。

動蕩不安的特斯拉

實際上,特斯拉近期的表現(xiàn)并不穩(wěn)定。除了黑客暴露特斯拉舊組件暗藏個人隱私風險之外,特斯拉 App 近期還出現(xiàn)大面積宕機的情況。

本月 13 日晚間,據(jù)國內(nèi)車主反映,特斯拉 App 出現(xiàn)大面積宕機情況,致使手機無法與車連接,手機鑰匙失效,導致無法獲取車輛信息、無法點亮車內(nèi)儀表盤、中控屏,只能黑屏「盲開」。之后小特 app 回應是 App 域名證書到期。

很多人把特斯拉形容為一輛帶著輪子的安卓手機。而手機鑰匙的作用也在于,可以使用移動應用程序來解鎖和鎖定汽車。

這并不是特斯拉 APP 首次出現(xiàn)宕機事故。2018 年,特斯拉汽車被爆汽車互聯(lián)網(wǎng)網(wǎng)絡癱瘓。當時特斯拉回應稱,網(wǎng)絡運營商 AT&T 出了問題。2019 年 9 月,據(jù)外媒報道稱,特斯拉 APP 在北美出現(xiàn)大面積宕機現(xiàn)象。大多數(shù)北美車主沒有攜帶特斯拉實體鑰匙的習慣,宕機之后,手機鑰匙失效,有車主被困在充電樁數(shù)小時,無法出行。直到 4 個多小時后,APP 恢復正常,車輛才得以啟動。

而國內(nèi)交付的特斯拉 Model 3 車型,配有一張 NFC 解鎖卡片,沒有實體鑰匙,如要額外配備實體鑰匙需要車主單獨購買。國內(nèi)特斯拉車主可以選擇用手機鑰匙和 NFC 卡片解鎖汽車。有一位已經(jīng)購買特斯拉 Model 3 的車主告訴機器之心,特斯拉 APP 手機鑰匙連不上的情況時常發(fā)生,為此他總是會把 NFC 卡片帶在身上。

傳統(tǒng)汽車里,手機與車機連接不上,最多影響車主無法正常聽音樂和使用導航功能。但對于倡導智能汽車的特斯拉而言,則會直接導致車主無法正常駕駛。

試想,如果 L4 級別自動駕駛的車輛在高速行駛時出現(xiàn)網(wǎng)絡延遲或者車機出現(xiàn)故障,車輛無法繼續(xù)前行,如無法采取緊急措施,則有可能出現(xiàn)嚴重的交通事故。

這一類事件在國內(nèi)就有發(fā)生。據(jù)江蘇交通廣播網(wǎng)報道,一位在南京特斯拉服務中心購買 model 3 的楊女士反映,汽車在快速路行駛過程中,中控屏幕出現(xiàn)頻繁死機的狀況,因為特斯拉的中控屏集合了所有的行車信息,導致無法繼續(xù)行駛。

她就此聯(lián)系特斯拉售后,對方認為是固件不穩(wěn)定導致的,需要升級?!附?jīng)特斯拉售后遠程診斷,固件為最新,查不出具體原因?!箺钆勘硎?。

因汽車軟件故障而造成的安全問題不僅發(fā)生在特斯拉身上,其他智能汽車也出現(xiàn)同樣的問題。5 月 18 日,據(jù)外媒報道,全新大眾高爾夫被曝軟件問題,由于緊急呼叫軟件不能正常工作,被暫停交付。據(jù)悉,在歐盟最新法規(guī)中,2018 年 4 月后生產(chǎn)的新車都要配備緊急呼叫軟件,如果軟件出錯或者不能正常運行就要暫停交付。

目前,各品牌汽車都在向智能化方向加速推進,本應利用各類智能化服務為消費者帶來更多方便安全的駕車體驗。但隨著各類存儲和傳輸數(shù)據(jù)等應用的介入,汽車也面臨著越來越多的安全隱私風險。

車聯(lián)網(wǎng)下的隱私風險

早在 2019 年 CNBC 就爆出特斯拉車主的隱私安全問題。

據(jù)美國全國廣播公司財經(jīng)頻道 (CNBC) 最新報道,兩名安全研究人員和自稱「白帽黑客」的人在一輛失事的特斯拉 Model 3 上發(fā)現(xiàn)了大量未經(jīng)加密的位置、攝像頭和其他數(shù)據(jù)。他們在 2018 年底購買了一輛 Model 3。他們進入汽車的電腦時,發(fā)現(xiàn)了「至少 17 種不同設(shè)備」的未加密數(shù)據(jù),其中包括 11 個司機或乘客的電話簿、電話號碼、電子郵件地址和日歷記錄。

研究人員還在車里發(fā)生了汽車殘骸的正面照片,以及一段不那么嚴重的前一場車禍的視頻。研究人員還在其他特斯拉汽車上也發(fā)現(xiàn)了類似的數(shù)據(jù),包括一輛特斯拉 Model S、一輛 Model X 和另外兩輛 Model 3s。

當時,特斯拉在一份聲明中表示,該公司為客戶提供了刪除個人數(shù)據(jù)的選項,方法是對車輛進行出廠重置。但是這種方式并不能完全解決個人隱私泄露的問題。被送往維修的特斯拉事故車可能會向任何了解汽車電腦并知道如何提取數(shù)據(jù)的人提供未經(jīng)加密的個人信息。

據(jù)外媒報道稱,特斯拉有時會雇用一家名為 Manheim 的汽車拍賣公司來檢查、維修和銷售二手特斯拉車。一位不愿透露姓名的 Manheim 前員工證實,員工并不會用恢復出廠設(shè)置來抹去汽車電腦里的信息。Manheim 對此拒絕置評。

早在 2016 年,一群來自騰訊科恩實驗室的白帽黑客,正式對外宣布成功入侵了特斯拉汽車 Model S 的系統(tǒng)。他們并不需要對這輛車事先進行物理接觸,就能實現(xiàn)對剎車系統(tǒng)、轉(zhuǎn)向燈、座椅位置以及門鎖系統(tǒng)的控制。

另外,也有研究表明,智能汽車被黑客攻擊的潛在危害很大。2018 年 7 月初,來自 UpGuard 安全團隊的研究員 Chris Vickery 在網(wǎng)上發(fā)現(xiàn)了汽車供應商 Level One 的不安全數(shù)據(jù)庫,數(shù)據(jù)庫包括將近 47000 份文件,涵蓋特斯拉、通用、大眾、豐田、福特、菲亞特克萊斯勒(FCA)等車企的商業(yè)機密、客戶資料、員工信息等隱私數(shù)據(jù)。

為何智能汽車容易出現(xiàn)隱私泄露的風險?在汽車大量實現(xiàn)智能網(wǎng)聯(lián)的情況下,各類智能化服務都能在一輛智能汽車上得以體現(xiàn),比如智能導航、泊車和遙控召喚等。你在享受智能化服務的同時,個人隱私也處于被主動收集的過程中,GPS 會記錄個人行蹤,車內(nèi)攝像頭收集個人畫像,麥克風收錄聲音,通訊本被系統(tǒng)收集等。

隨著汽車技術(shù)不斷發(fā)展,讓智能汽車的使用在便捷性與安全性之間存在天然的矛盾,如何在收集數(shù)據(jù)的同時規(guī)避安全風險,成為汽車消費者和汽車制造商的主要關(guān)注點。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論