特斯拉被曝儲存大量未加密個人數據，你的隱私正在「裸奔」！

編譯丨王哲

責編 | 伍杏玲

本文經授權轉載自獵雲網（ID：ilieyun）

特斯拉是否明確界定了數據安全的目標？它現有的規則又在保護哪些人？

如果你不幸撞毀了你的特斯拉汽車，那麼當它被扔進垃圾場的時候，它可能會攜帶著你的歷史信息。

據兩名安全研究人員說，這是因為特斯拉汽車上的電腦保存了駕駛員自願儲存在汽車上的所有信息，以及汽車本身留下的大量其它信息，包括視頻、位置和導航數據，這些數據可以準確解釋導致事故的原因。

一位自稱是GreenTheOnly的研究員形容他自己就是一個「白帽黑客」，也是一位駕駛X型車的特斯拉愛好者。他從一輛被打撈出來的特斯拉Model S、Model X和兩輛Model 3汽車的電腦中提取了這類數據，近年來還從特斯拉的臭蟲獎金中賺取了數萬美元。

很多其它汽車其實都會從用戶那裡下載和存儲數據，尤其是來自與汽車配對的手機的信息，比如聯繫人信息。這種做法非常普遍，以至於美國聯邦貿易委員會向司機發出警告，提醒他們不要將設備與租車配對，並敦促他們在歸還租車或出售自己的汽車之前，學會如何清理自己的汽車系統。

但研究人員的發現卻強調了特斯拉是如何在隱私和網路安全方面自相矛盾的。一方面，特斯拉緊緊掌握著汽車生成的數據，並在法庭上與那些要求他們交出汽車數據的客戶進行對峙。如果車主真的是處於法律、保險等原因需要這些汽車數據的話，他們必須購買價值995美元的數據線，並從特斯拉下載一套軟體，才能通過特斯拉的「事件數據記錄儀」獲取有限的信息。

與此同時，被送往維修的特斯拉事故車可能會向任何掌握了汽車電腦並知道如何提取數據的人提供未經加密的個人信息。

這種對比引起了人們的疑惑，即特斯拉是否明確界定了數據安全的目標，以及它現有的規則旨在保護哪些人。

一位特斯拉發言人說道：「特斯拉已經為客戶提供了一些選擇，客戶可以用這些方法來保護存儲在他們汽車上的個人數據，其中包括一個恢復出廠設置選項，這個選項可以刪除個人數據，將自定義設置還原成工廠默認值，還可以提供一個在其它功能上可以隱藏個人數據的Valet模式。也就是說，我們始終致力於在技術車輛需求和客戶隱私之間尋找一種平衡，並努力改善這種平衡。」

你的特斯拉知道些什麼

存儲在Model S、Model X或Model 3上的數據，不會在汽車被拖離事故現場或拍賣時自動刪除。根據GreenTheOnly的研究，這意味著個人信息仍然保留在汽車上，並且可能會被下一位擁有這輛汽車或汽車的某些部件的人獲取。

特斯拉有時會僱用一家名為Manheim的汽車拍賣公司來檢查、維修和銷售二手特斯拉車。一位不願透露姓名的Manheim前員工證實，員工並不會用恢復出廠設置來抹去汽車電腦里的信息。Manheim對此拒絕置評。

GreenTheOnly的「白帽黑客」好友Theo也是一位特斯拉的支持者，他曾修復了數百輛受損的特斯拉汽車。出於研究的目的，他們兩個人在去年年末買了一輛全白色Model 3。他們發現這輛車曾屬於大波士頓地區的一家建築公司，並被在那裡工作的人使用。該建築公司沒有回復記者的多次採訪請求。

這兩位研究人員分享的記錄顯示，這輛車的電腦至少存儲了17種不同設備的數據。而這些數據都沒有加密。

手機或平板電腦與這輛汽車配對的次數約為170次。這輛Model 3里存有11本通訊電話簿，全都來自於那些將自己的設備和汽車相配對的司機或乘客，這其中還包括含有計劃約會描述的日曆信息，以及電子郵件地址。

汽車電腦里的數據還顯示了司機的最後73個導航位置，包括住宅地址、Wequassett度假村和高爾夫俱樂部，以及當地的Chik-Fil-A和家得寶（Home Depot）。

緊接著，就是這輛車的車禍數據。

從失事的Model 3中提取的視頻片段顯示，這輛車從右車道疾馳而出，撞進了一條昏暗的雙車道公路左側的樹林里。

GPS系統和其他車輛捕捉到的數據顯示，這起事故發生在馬薩諸塞州奧爾良的Namequoit路上，時間是8月11日晚上11點15分，並且嚴重到了需要使用安全氣囊的地步。

通話記錄顯示，事故發生時車裡的一部iPhone手機屬於一位擁有這輛Model 3的公司的創始人兼董事長的親屬。研究人員還發現，就在事故發生前不久，根據來電記錄顯示，一名司機的家庭成員曾給這位司機打過電話。

而另一段儲存在車內的視頻顯示，早些時候這輛車就曾發生過一起事故，曾經側滑了一根護欄。

「在馬路上移動的電腦」

總的來說，汽車已經變成了「在馬路上移動的電腦」。它們可以從用戶的移動設備中收集個人數據，從而提供「信息娛樂」功能或服務。汽車產生的額外數據使先進的駕駛員輔助系統成為可能，並對其進行培訓。與特斯拉自動駕駛儀競爭的主要汽車製造商包括通用汽車的凱迪拉克超級巡航、日產英菲尼迪的ProPilot Assist和沃爾沃的Pilot Assist系統。

但GreenTheOnly和Theo指出，特斯拉車的儀錶盤攝像頭和自拍攝像頭可以記錄汽車停放時的情況，即使是在你的車庫裡，車主也無法知道他們什麼時候會這樣做。這些攝像頭支持「哨兵模式」等理想功能，比如說，它們還能讓雨刷「看到」雨滴並自動開啟。

GreenTheOnly解釋說：「特斯拉在有些方面也不是超級透明，比如說，他們要在內部系統上記錄和存儲什麼以及什麼時候來記錄和存儲。您可以選擇退出所有數據收集，但隨後你就失去了無線軟體更新和其它一些功能。所以，可以理解的是，沒有人這麼做，我也只能不情願地接受這個現實。」

Theo和GreenTheOnly還表示，Model 3、Model S和Model X在發生撞車事故時，會嘗試向特斯拉上傳自動駕駛儀和其他數據。這些汽車有能力上傳其它數據，但研究人員不知道他們是否以及在什麼情況下嘗試這樣做。

特斯拉以技術領先和對白帽黑客友好著稱。

例如，特斯拉是第一家為其汽車提供空中下載技術更新的汽車製造商。首席執行官埃隆·馬斯克出席了DefCon等網路安全大會，這令參加會議的代碼「創造者和破壞者」十分高興。

該公司是為數不多的幾家向其網路公開招攬網路安全專業人士的大公司之一，它們敦促那些發現特斯拉系統缺陷的人有序地報告這些缺陷。此舉給了該公司在問題被披露前修復問題的時間。特斯拉通常會向發現並成功報告這些缺陷的個人支付5位數的獎金。

BugCrowd的首席安全官David Baker指出，即便在PayPal時代，CEO埃隆·馬斯克也是這種眾包安全研究的早期支持者。BugCrowd是特斯拉管理自己的「漏洞獎勵」項目的平台。

然而，據兩名要求匿名的特斯拉前服務人員稱，當車主試圖分析或修改自己車輛的系統時，公司可能會將他們標記為黑客，讓特斯拉員工對他們的技術保持警惕。然後特斯拉會確保這些被標記的人不是第一批獲得新軟體更新的人。

Baker對此表示理解。他說：「特斯拉必須防範那些試圖對其軟體進行逆向工程，或進行惡意黑客攻擊的人。他們不能將汽車電腦上的這些數據抹去。法醫可能需要和保留這些數據。但我認為他們想要做的是研究出一個新的方法，讓所有存儲的數據都被加密，就像在手機上那樣。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！