白帽骇客发现废弃的 Tesla 车辆中残留了未加密的影片和数据
内建各项数据纪录仪器让 Tesla 保留了比一般车辆更多的资料。
Lanmo Chang
25 分钟前
据 CNBC 报导,一项由白帽骇客(White Hat,以改善问题为目标的
骇客,多为电脑安全公司的雇员或希望借此获得悬赏的人士)进行的
实验发现,废弃的 Tesla 车辆中残存了大量的未加密资料,包括电
话号码、录影影片、位置和导航资料等。这导致只要具有相关技术知
识的人,其实都能借机入侵车上的电脑来获取各项数据。对于时常需
要以蓝牙配对手机,内建各项行车纪录功能的 Tesla 来说,内藏丰
富的数据似乎不是件令人意外的事。但由于 Tesla 并不会在车辆报
废后自动删除这些资料,这项特色也着实成了一把双面刃。
一位化名为 GreenTheOnly 的研究人员告诉 CNBC,他为了研究这项
状况,曾设法从报废的 Model X、Model S 和 Model 3 中打捞数据
。同时他也与一名叫作 Theo 的白帽骇客合作,在去年底以研究为由
购买了一辆几乎完全毁损的 Model 3。经过实验,他们发现这些车上
至少残留了来自 17 项不同设备所记录的数据,包括车辆配对次数、
11 份电话联络名单、含有活动细节的日历,甚至是活动邀请对象的
电子邮件地址。此外,他们也成功找出了该车辆最后前往的 73 个目
的地位置及导航资料,甚至是车辆遭遇车祸的录影影片。
对此,Tesla 发言人向 CNBC 表示,Tesla 目前已提供了回复原厂设
定的功能,让客户们可以选择删除个人数据或恢复默认设置。此外,
他们也提供了代驾模式(Valet Mode ),可以在他人驾驶自己车辆
时提供隐藏个人数据等功能。Tesla 一向致力于寻找车辆功能与客户
需求间的平衡,并会持续做出改进。
然而,拥有上面提到的这些功能,似乎仍无法全面防堵相关情况的发
生。一家负责维修 Tesla 二手车的汽车拍卖公司先前才承认,他们
并没有在出售车辆前将系统回复原厂设置。如同研究所示,这代表了
车上的资料仍有遭窃的风险。而且若车主们自行对车上的软件进行修
改,也或将会被 Tesla 判定为骇客,而面临无法顺利升级到官方提
供的最新版本软件的风险。
负责 Tesla 漏洞回报奖励计画的 BugCrowd 首席安全长向 CNBC 解
释,该公司之所以不自动删除车上的资料,是基于车祸这类事件在法
庭上往往需要相关的佐证资料。但他也表示,他认为 Tesla 将会以
为数据加密的方式来解决这方面的疑虑,就像市面上的手机一样。
https://chinese.engadget.com/2019/03/31/tesla-unencrypted-video-recordings/
心得:
特斯拉的车上会保存大量的数据是不让人意外的事情,但基本的加密仍是必须
这件事情被揭发出来之后应该也是会在数据处理上更加谨慎