加入收藏 | 设为首页 |

马斯克卖房保隐私 特斯拉车主的隐私漏洞却无解?

隐私 时间:2020-05-12 浏览:
最近,再次晋升奶爸的马斯克,说有人翻墙到他家里侵犯隐私,为保护自己,他还曾买下自己家周围的房子,然而还是无济于事,为此他打算卖掉豪宅租房

  
最近,再次晋升奶爸的马斯克,说有人翻墙到他家里侵犯隐私,为保护自己,他还曾买下自己家周围的房子,然而还是无济于事,为此他打算卖掉豪宅租房住。

马斯克卖房保隐私 特斯拉车主的隐私漏洞却无解?


  图 | 马斯克说自己将是无房户(来源:Twitter)

  大佬重视隐私,早已不是新鲜事,扎克伯格为保护自己,也曾买下自家周围四栋房子。

  
颇有玩味的是,Facebook 因为隐私问题没少上新闻。

  
而近日,国外白帽黑客曝光,有特斯拉车主换掉车内媒体控制中心后(Media Control Center,MCU,可以理解为“车载电脑主板”,以下简称“车载电脑”),存储在旧车载电脑中的个人信息,遭到泄露。

  

马斯克卖房保隐私 特斯拉车主的隐私漏洞却无解?


  图 | 白帽黑客 green 的 Twitter 内容(来源:Twitter)

  另据美国权威新能源汽车媒体 INSIDEEVS 报道,车主到特斯拉售后服务门店,更换车载电脑后,特斯拉一般会把车主留下的旧车载电脑,砸坏后处理。

马斯克卖房保隐私 特斯拉车主的隐私漏洞却无解?


图 | INSIDEEVS 报道截图(来源:INSIDEEVS)

  
然而,在美国电商网站 eBay 上,有人在卖二手特斯拉车载电脑。车主的废旧零件,为何跑到网上,目前尚不可知。

马斯克卖房保隐私 特斯拉车主的隐私漏洞却无解?


图 | 二手特斯拉车载电脑挂在 eBay 待售(来源:eBay)

  黑客获取信息,并联系上车主

  前面提到那位黑客 green,亲自买来二手车载电脑,发现车主的通讯录、通话记录、日历日程、位置轨迹记录等,都在里面。

  
他还尝试联系车主,居然联系上了!

  
为确定这事儿,DeepTech 给特斯拉中国区公关邮箱发邮件,截止发稿,未收到回复。

  
5 月 8 日下午,DeepTech 来到北京 某特斯拉门店实地探访,试驾了一辆特斯拉 Model 3 升级版。

  

马斯克卖房保隐私 特斯拉车主的隐私漏洞却无解?


图 | 北京某特斯拉门店(来源:DeepTech)

  这就是车载电脑主板的样子,跟常见的笔记本显示屏差不多大。

  

马斯克卖房保隐私 特斯拉车主的隐私漏洞却无解?


图 | 车载电脑的游戏界面(来源:DeepTech)

  销售人员说,目前车载电脑不支持下载软件,只能玩几个游戏、听听 QQ 音乐和喜马拉雅音频等。

  对于一般多久需要换一次主板的询问,对方答,不需要更换,理由是“它不能像电脑那样下载软件,内存不受影响,自然就不会变卡。 ”

  

马斯克卖房保隐私 特斯拉车主的隐私漏洞却无解?


图 | 车载电脑的音乐界面(来源:DeepTech)

  和很多汽车一样,手机连接车载电脑后,就能用车载电脑打电话。

  连接后,如下图,手机通讯录、通话记录等信息,就会显示到电脑上。

  

马斯克卖房保隐私 特斯拉车主的隐私漏洞却无解?


图 | 体验者最近的通话记录和联系人信息,均已显示在屏幕上(来源:DeepTech)

  因为这是一辆试驾车,当连接蓝牙后,屏幕上还显示了过往连接车载电脑的用户名。

  

马斯克卖房保隐私 特斯拉车主的隐私漏洞却无解?


图 | 遗留下的用户名(来源:DeepTech)

  
试驾结束时,当要求删除相关蓝牙连接记录,销售回应称,很少遇到提这个要求的试驾者。

  毕竟,销售的 KPI 是卖车,她主要介绍特斯拉的智能辅助驾驶功能如何好、加速功能如何棒等等,对于车载电脑的问题,则知之甚少。

  后来打电话问中国区客服,客服说车载电脑坏了是可以换的,但对于替换后,是否会出现信息泄露,她表示在线上回答不了。

  DeepTech转而去特斯拉天猫官方旗舰店问客服,结果客服推说去问门店。

马斯克卖房保隐私 特斯拉车主的隐私漏洞却无解?


  你看,整成死循环了。

  在官方渠道问询无果后,DeepTech 尝试进一步探索造成特斯拉数据泄露的原因。

  此前有自媒体分析,数据之所以泄露,很有可能是特斯拉未对车载电脑系统,进行数据加密。针对这个推测,DeepTech 采访到 360 智能网联汽车安全实验室 SkyGo 团队,发现数据泄露的原因,并非是简单的“没有加密”。

  据 360 SkyGo 团队安全研究负责人严敏睿介绍,从技术角度,不能说厂商对系统硬盘进行了数据加密就是安全的,因为退役的零部件,本身就不应该还保留着用户数据;其次,数据加密解密的实现方法是否正确,也将影响到用户信息的安全。

  
在此次事件中,特斯拉中控主机可以脱离整车正常运行,如果厂商对存储芯片应用了加密手段,在正常运行过程中,就会对数据解密,攻击者还是可以通过正常使用中控主机的交互功能,看到用户隐私数据。而这也表明数据加密,并非此次事件的根本原因。

  其根本原因存在于信息安全管理体系中,退役流程和信息安全功能设计中存在问题,1、为何退役的设备中还保留着用户数据?2、为何单个零部件可以在脱离整车的情况下独立正常使用?

  从信息安全管理的角度看,首先,针对用户的退役设备,应将用户数据进行销毁;其次,信息安全功能设计的时候,在非车厂维修场景下,应当不允许零部件在脱离整车的情况下独立使用,应当具备防盗功能。因此,这次事件由上述两个原因导致,其根本是缺乏完善的信息安全管理机制。

  
那么,作为普通用户,该怎么办?

  
严敏睿建议:“从用户角度而言,作为非专业使用者,无法在购买产品之前,发现或者排除产品的信息泄漏风险,只能通过试用或者咨询的方式,了解该产品是否提供让用户抹除数据的功能。