特斯拉車輛被曝儲存大量個人和未加密信息 包括匹配設備聯繫人

騰訊科技訊 3月30日消息，據外媒報道，兩名安全研究人員日前爆料稱，在垃圾場和拍賣會上出售的撞毀特斯拉汽車，儲存有大量個人和未加密數據，包括司機匹配的移動設備信息，以及事故發生前的場景視頻等。

這兩名安全研究員表示，特斯拉汽車上的電腦保存了司機自願存儲在汽車上的所有信息，以及車輛生成的大量其他信息，包括視頻、位置和導航數據，這些數據準確地顯示了導致車禍的原因。

自稱「GreenTheOnly」的研究人員表示，他是一名「白帽黑客」，也是特斯拉Model X的忠誠粉絲。GreenTheOnly從撞毀的特斯拉Model S、Model X以及Model 3電腦中提取了這類數據，並在最近幾年裡利用特斯拉漏洞懸賞計劃賺取了數萬美元。他以隱私為由，同意以化名方式接受美國科技媒體CNBC的採訪，並與CNBC分享數據和視頻。

圖1：特斯拉公司首席執行官埃隆·馬斯克(Elon Musk)

許多其他汽車也從用戶那裡下載和存儲數據，特別是來自車主匹配手機的信息，如聯繫人信息。這種做法十分普遍，以至於美國聯邦貿易委員會(FTC)已向司機發出警告，警告他們不要將設備與租用車配對，並敦促他們學會在退還租車或出售自己擁有的汽車之前，將汽車系統上的數據清理乾淨。

但研究人員的發現突顯了特斯拉在隱私和網路安全方面的矛盾之處。一方面，特斯拉牢牢地保存著汽車生成的數據，並在法庭上與客戶進行鬥爭，要求他們不要放棄汽車數據。車主必須購買價值995美元的電纜，並從特斯拉下載一套軟體。在出於法律、保險或其他原因等必要情況下，特斯拉可以通過「事件數據記錄器」(Event Data Recorder)從汽車中獲取有限的信息。

與此同時，被送去維修的撞毀特斯拉汽車可以向任何擁有汽車電腦並知道如何提取信息的人，提供未加密的和個人泄露的數據。這種對比引發了人們的疑問，即特斯拉是否明確界定了數據安全的目標，以及其現有的規則到底是為了保護誰。

特斯拉的一位發言人說：「特斯拉已經提供了許多選項，客戶可以使用這些選項來保護存儲在他們汽車上的個人數據，包括用於刪除個人數據和將自定義設置恢復為出廠默認設置的出廠重置選項，以及用於在向代客提供鑰匙時隱藏個人數據(以及其他功能)的『代客模式』。儘管如此，我們始終致力於在車輛技術需求和客戶隱私之間找到平衡，並逐漸改善它。」

特斯拉知道哪些信息

存儲在特斯拉Model S、Model X以及Model 3車輛上的數據不會在汽車被拖出事故現場或在拍賣會上出售時自動刪除。GreenTheOnly的研究顯示，這意味著個人數據細節被保留在汽車上，並且可以由擁有汽車或其某些組件的人深入挖掘。

特斯拉有時會雇請名為曼海姆(Manheim)的汽車拍賣公司來檢查、維修和銷售二手車。一位不願透露姓名的前曼海姆公司員工證實，這些員工不會通過恢復出廠設置來清除這些汽車電腦中的數據。曼海姆公司拒絕置評。

去年年底，GreenTheOnly和同為特斯拉支持者的白帽黑客西奧(Theo)購買了一輛曾撞毀的白色Model 3，用於研究目的。西奧曾修復了數百輛失事的特斯拉車輛。他們發現，這輛車屬於大波士頓地區的一家建築公司，供在那裡工作的人使用。該建築公司沒有對置評請求做出回應。

圖2：安全研究人員購買了這輛撞毀的Model 3，以評估車禍後留在汽車電腦中的數據

研究人員與CNBC分享了記錄，這些記錄顯示，這輛汽車的電腦存儲了至少17種不同設備的數據，而且數據都未加密。手機或平板電腦與汽車匹配了約170次。Model 3保存了11本電話簿的聯繫人信息，這些信息來自與設備配對的司機或乘客，日曆條目中有計劃會面的說明，以及受邀者的電子郵件地址。CNBC給幾個將手機與車輛配對的人打了電話，並給他們發了電子郵件，發現這些信息都是真實的。

數據還顯示了司機的最新73個導航位置，包括住宅地址、Wequassett度假村、高爾夫俱樂部以及當地Chik-Fil-A和Home Depot的位置。然後，發生了撞車事故。這段從撞車事故Model 3中提取的視頻顯示，這輛車從右側車道快速駛入一條黑暗的雙車道路線左側的樹林中。

GPS和其他車輛數據顯示，事故發生在美國馬薩諸塞州奧爾良市的納木科伊特路（Namequoit Road），時間是8月11日晚上11點15分，車禍嚴重程度足以讓安全氣囊展開。

通話記錄顯示，事故發生時汽車裡的iPhone屬於擁有這輛Model 3的公司創始人兼董事長的親戚。研究人員發現，在這輛車撞毀前的瞬間，來電記錄顯示，一名家庭成員給Model 3的司機打了電話。

另一個存儲在汽車上的視頻顯示，早些時候這輛車還發生過其他事故，Model 3側滑撞上了護欄。

輪子上的計算機

一般來說，汽車已經成為輪子上的計算機，它從用戶的移動設備中獲取個人數據，從而實現「信息娛樂」功能或服務。汽車產生的額外數據被用於支持和訓練先進的司機輔助駕駛系統。與特斯拉自動駕駛儀（Autopilot）競爭的主要汽車製造商產品包括：通用汽車(GM)的凱迪拉克超級巡航系統(Cadillac Super Cruise)、日產英菲尼迪(Nissan Infiniti)的ProPilot輔助系統以及沃爾沃(Volvo)的Pilot Assist系統。

但GreenTheOnly和西奧指出，在特斯拉，儀錶盤攝像頭和自拍攝像頭可以在汽車停放時記錄信息，即使是在你的車庫裡，車主甚至不知道它們什麼時候會這樣做。這些攝像頭支持「哨兵模式」等理想功能。在「看到」雨滴時，這些攝像頭可以操控雨刷器自動打開。

GreenThely解釋說：「特斯拉並不是超級透明的，不知道他們的攝像頭在什麼時候記錄什麼，以及在內部系統中存儲什麼。你可以選擇退出所有數據收集活動，但之後你就失去了『無線軟體更新』和一大堆其他功能。因此，可以理解的是，沒有人會這樣做，我也勉強接受了這一點。」

西奧和GreenThely還表示，如果發生車禍，Model 3、Model S和Model X車輛將嘗試上傳自動駕駛儀和其他數據給特斯拉。這些車輛有能力上傳其他數據，但研究人員不知道它們是否以及在什麼情況下會嘗試這樣做。

特斯拉以技術前沿和對白帽黑客友好著稱。例如，該公司是第一家對其汽車進行「空中更新」的汽車製造商。首席執行官埃隆·馬斯克(Elon Musk)出席了像DefCon這樣的網路安全會議，這讓出席會議的「代碼開發者和破壞者」感到興奮。

特斯拉是少數幾家公開吸引網路安全專業人士加入其網路的大公司之一，並呼籲那些發現特斯拉系統缺陷的人以有序的方式報告這些漏洞。這樣一來，該公司就有時間在問題曝光之前修復問題。特斯拉定期向發現並成功報告這些缺陷的個人支付高達上萬美元的獎金。

特斯拉負責管理「漏洞懸賞」計劃的BugCrowd平台首席安全官大衛·貝克(David Baker)指出，即使在創建支付服務PayPal的時代，馬斯克也是這種眾包安全研究的早期支持者。

然而，根據兩名要求匿名的前特斯拉服務員工的說法，當車主試圖分析或修改自己的汽車系統時，該公司可能會將他們標記為黑客，並提醒特斯拉注意他們。然後，特斯拉會確保這些被標記的人不是第一批獲得新軟體更新的人。

貝克表示：「特斯拉確實必須防範那些試圖對他們的軟體進行逆向工程或進行惡意黑客攻擊的人。他們不能就這麼把車上的數據清除乾淨。這些汽車實際上已經是電腦，調查人員可能需要保留數據。但我認為，他們想要研究的是一種將存儲的所有數據加密的方法，就像在你的手機上一樣。」 （騰訊科技審校/金鹿）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！