欢迎光临第五届中国汽车网络信息安全峰会2020!

马斯克卖房保隐私,特斯拉车主的隐私漏洞却无解?

发布日期:2020-07-31

GRCC IoVSecurity 昨天 

手机阅读

点击上方蓝色字体,关注我们

来源 | 麻省理工科技评论 


近日国外黑客曝光,有特斯拉车主换掉车内媒体控制中心后存储在旧车载电脑中的个人信息,遭到泄露。


最近,再次晋升奶爸的马斯克,说有人翻墙到他家里侵犯隐私,为保护自己,他还曾买下自己家周围的房子,然而还是无济于事,为此他打算卖掉豪宅租房住。

图 | 马斯克说自己将是无房户(来源:Twitter)

大佬重视隐私,早已不是新鲜事,扎克伯格为保护自己,也曾买下自家周围四栋房子。

颇有玩味的是,Facebook 因为隐私问题没少上新闻。

而近日,国外白帽黑客曝光,有特斯拉车主换掉车内媒体控制中心后(Media Control Center,MCU,可以理解为“车载电脑主板”,以下简称“车载电脑”),存储在旧车载电脑中的个人信息,遭到泄露。

图 | 白帽黑客 green 的 Twitter 内容(来源:Twitter)

另据美国权威新能源汽车媒体 INSIDEEVS 报道,车主到特斯拉售后服务门店,更换车载电脑后,特斯拉一般会把车主留下的旧车载电脑,砸坏后处理。

图 | INSIDEEVS 报道截图(来源:INSIDEEVS)

然而,在美国电商网站 eBay 上,有人在卖二手特斯拉车载电脑。车主的废旧零件,为何跑到网上,目前尚不可知。

图 | 二手特斯拉车载电脑挂在 eBay 待售(来源:eBay)

黑客获取信息,并联系上车主

前面提到那位黑客 green,亲自买来二手车载电脑,发现车主的通讯录、通话记录、日历日程、位置轨迹记录等,都在里面。

他还尝试联系车主,居然联系上了!

为确定这事儿,DeepTech 给特斯拉中国区公关邮箱发邮件,截止发稿,未收到回复。

5 月 8 日下午,DeepTech 来到北京某特斯拉门店实地探访,试驾了一辆特斯拉 Model 3 升级版。

图 | 北京某特斯拉门店(来源:DeepTech)

这就是车载电脑主板的样子,跟常见的笔记本显示屏差不多大。

图 | 车载电脑的游戏界面(来源:DeepTech)

销售人员说,目前车载电脑不支持下载软件,只能玩几个游戏、听听 QQ 音乐和喜马拉雅音频等。

对于一般多久需要换一次主板的询问,对方答,不需要更换,理由是“它不能像电脑那样下载软件,内存不受影响,自然就不会变卡。”

图 | 车载电脑的音乐界面(来源:DeepTech)

和很多汽车一样,手机连接车载电脑后,就能用车载电脑打电话。

连接后,如下图,手机通讯录、通话记录等信息,就会显示到电脑上。

图 | 体验者最近的通话记录和联系人信息,均已显示在屏幕上(来源:DeepTech)

因为这是一辆试驾车,当连接蓝牙后,屏幕上还显示了过往连接车载电脑的用户名。

图 | **下的用户名(来源:DeepTech)

试驾结束时,当要求删除相关蓝牙连接记录,销售回应称,很少遇到提这个要求的试驾者。

毕竟,销售的 KPI 是卖车,她主要介绍特斯拉的智能辅助驾驶功能如何好、加速功能如何棒等等,对于车载电脑的问题,则知之甚少。

后来打电话问中国区客服,客服说车载电脑坏了是可以换的,但对于替换后,是否会出现信息泄露,她表示在线上回答不了。

DeepTech转而去特斯拉天猫官方旗舰店问客服,结果客服推说去问门店。

你看,整成死循环了。

在官方渠道问询无果后,DeepTech 尝试进一步探索造成特斯拉数据泄露的原因。

此前有自媒体分析,数据之所以泄露,很有可能是特斯拉未对车载电脑系统,进行数据加密。针对这个推测,DeepTech 采访到 360 智能网联汽车安全实验室 SkyGo 团队,发现数据泄露的原因,并非是简单的“没有加密”。

据 360 SkyGo 团队安全研究负责人严敏睿介绍,从技术角度,不能说厂商对系统硬盘进行了数据加密就是安全的,因为退役的零部件,本身就不应该还保留着用户数据;其次,数据加密解密的实现方法是否正确,也将影响到用户信息的安全。

在此次事件中,特斯拉中控主机可以脱离整车正常运行,如果厂商对存储芯片应用了加密手段,在正常运行过程中,就会对数据解密,攻击者还是可以通过正常使用中控主机的交互功能,看到用户隐私数据。而这也表明数据加密,并非此次事件的根本原因。

其根本原因存在于信息安全管理体系中,退役流程和信息安全功能设计中存在问题,1、为何退役的设备中还保留着用户数据?2、为何单个零部件可以在脱离整车的情况下独立正常使用?

从信息安全管理的角度看,首先,针对用户的退役设备,应将用户数据进行销毁;其次,信息安全功能设计的时候,在非车厂维修场景下,应当不允许零部件在脱离整车的情况下独立使用,应当具备防盗功能。因此,这次事件由上述两个原因导致,其根本是缺乏完善的信息安全管理机制。

那么,作为普通用户,该怎么办?

严敏睿建议:“从用户角度而言,作为非专业使用者,无法在购买产品之前,发现或者排除产品的信息泄漏风险,只能通过试用或者咨询的方式,了解该产品是否提供让用户抹除数据的功能。

但从技术角度而言,即使提供该功能,也无法 100% 肯定数据完全被抹除。所以用户可以在卖车、或者更换零部件时,应主动删除个人相关信息,同时主动要求 4S 店和厂商删除该零部件上的个人相关数据。如果信息发生泄漏,可以依法维权,中国《网络安全法》和欧盟《通用数据保护条例》(GDPR)和美国《加州消费者隐私法案》(CCPA),都对个人信息保护有所规定;同时中国国家标准《个人信息安全规范》中规定,个人信息主体注销账户后,应及时删除其个人信息或匿名化处理,这是对《网络安全法》中对个人信息保护相关条款的细化与补充。”

智能汽车安全漏洞频发

据 360 智能网联汽车安全实验室的《 2019 智能网联汽车信息安全年度报告》显示,2019 年,特斯拉汽车销量,位居全球的纯电动汽车销量榜第一,市场份额高达 23%。

图 | 2019 纯电动车销量榜(来源:2019 智能网联汽车信息安全年度报告》)

2019 年,特斯拉也出现过小偷使用中继攻击(Relay Attack)技术,仅用不到三十秒,就在没有钥匙情况下、偷窃特斯拉 Model S 的案例。

图 | 小偷用“技术手段”偷窃特斯拉(来源:《2019 智能网联汽车信息安全年度报告》)

同年,腾讯科恩实验室通过编号为 CVE-2018-16806 的无线芯片固件与无线芯片,驱动两个漏洞、并使用基于堆的缓冲器溢出攻击,实现了在特斯拉 Model S/X 系列汽车的 Parrot 模块 Linux 系统中,执行任意命令的攻击。

注意,是任意命令。

另据相关研究报告披露,利用这两个漏洞、仅通过发送无线数据包的形式,能在 Parrot 系统内部实现大约 10% 的远程命令执行成功概率。

不过,特斯拉也已经在 2019.36.2 版本中,对该漏洞做了修复。

图 | 特斯拉 Model S/X Wi-Fi 协议存在缓存区溢出漏洞(来源:《2019 智能网联汽车信息安全年度报告》)

固然很多技术,都是边走边迭代。但用户信息是大事,得罪这个基本盘,企业很难走长远。

截止发稿,尚未发现有中国特斯拉用户,反映类似情况。但无论如何,打算买智能汽车、或者正在开智能汽车的车主,都得上点心了!

特别是已经更换过车载主板的车主,不管是什么品牌的智能车,**都留意下隐私是否已经泄露。


相关文章

特斯拉安全研究:从一次到两次的背后.张文凯.ppt
特斯拉Autopilot安全性创纪录 车机未擦除导致隐私泄漏




SELECTED EVENTS




 

长按二维码识别关注



我就知道你“在看”


  • 电话咨询
  • 15021948198
  • 021-22306692
None