特斯拉車輛被曝儲(chǔ)存大量個(gè)人和未加密信息 包括匹配設(shè)備聯(lián)系人

　　3月30日消息，據(jù)外媒報(bào)道，兩名安全研究人員日前爆料稱，在垃圾場(chǎng)和拍賣會(huì)上出售的撞毀特斯拉汽車，儲(chǔ)存有大量個(gè)人和未加密數(shù)據(jù)，包括司機(jī)匹配的移動(dòng)設(shè)備信息，以及事故發(fā)生前的場(chǎng)景視頻等。

　　這兩名安全研究員表示，特斯拉汽車上的電腦保存了司機(jī)自愿存儲(chǔ)在汽車上的所有信息，以及車輛生成的大量其他信息，包括視頻、位置和導(dǎo)航數(shù)據(jù)，這些數(shù)據(jù)準(zhǔn)確地顯示了導(dǎo)致車禍的原因。

　　自稱“GreenTheOnly”的研究人員表示，他是一名“白帽黑客”，也是特斯拉Model X的忠誠(chéng)粉絲。GreenTheOnly從撞毀的特斯拉Model S、Model X以及Model 3電腦中提取了這類數(shù)據(jù)，并在最近幾年里利用特斯拉漏洞懸賞計(jì)劃賺取了數(shù)萬(wàn)美元。他以隱私為由，同意以化名方式接受美國(guó)科技媒體CNBC的采訪，并與CNBC分享數(shù)據(jù)和視頻。

　　許多其他汽車也從用戶那里下載和存儲(chǔ)數(shù)據(jù)，特別是來(lái)自車主匹配手機(jī)的信息，如聯(lián)系人信息。這種做法十分普遍，以至于美國(guó)聯(lián)邦貿(mào)易委員會(huì)(FTC)已向司機(jī)發(fā)出警告，警告他們不要將設(shè)備與租用車配對(duì)，并敦促他們學(xué)會(huì)在退還租車或出售自己擁有的汽車之前，將汽車系統(tǒng)上的數(shù)據(jù)清理干凈。

　　但研究人員的發(fā)現(xiàn)突顯了特斯拉在隱私和網(wǎng)絡(luò)安全方面的矛盾之處。一方面，特斯拉牢牢地保存著汽車生成的數(shù)據(jù)，并在法庭上與客戶進(jìn)行斗爭(zhēng)，要求他們不要放棄汽車數(shù)據(jù)。車主必須購(gòu)買價(jià)值995美元的電纜，并從特斯拉下載一套軟件。在出于法律、保險(xiǎn)或其他原因等必要情況下，特斯拉可以通過(guò)“事件數(shù)據(jù)記錄器”(Event Data Recorder)從汽車中獲取有限的信息。

　　與此同時(shí)，被送去維修的撞毀特斯拉汽車可以向任何擁有汽車電腦并知道如何提取信息的人，提供未加密的和個(gè)人泄露的數(shù)據(jù)。這種對(duì)比引發(fā)了人們的疑問(wèn)，即特斯拉是否明確界定了數(shù)據(jù)安全的目標(biāo)，以及其現(xiàn)有的規(guī)則到底是為了保護(hù)誰(shuí)。

　　特斯拉的一位發(fā)言人說(shuō)：“特斯拉已經(jīng)提供了許多選項(xiàng)，客戶可以使用這些選項(xiàng)來(lái)保護(hù)存儲(chǔ)在他們汽車上的個(gè)人數(shù)據(jù)，包括用于刪除個(gè)人數(shù)據(jù)和將自定義設(shè)置恢復(fù)為出廠默認(rèn)設(shè)置的出廠重置選項(xiàng)，以及用于在向代客提供鑰匙時(shí)隱藏個(gè)人數(shù)據(jù)(以及其他功能)的‘代客模式’。盡管如此，我們始終致力于在車輛技術(shù)需求和客戶隱私之間找到平衡，并逐漸改善它。”

　　特斯拉知道哪些信息

　　存儲(chǔ)在特斯拉Model S、Model X以及Model 3車輛上的數(shù)據(jù)不會(huì)在汽車被拖出事故現(xiàn)場(chǎng)或在拍賣會(huì)上出售時(shí)自動(dòng)刪除。GreenTheOnly的研究顯示，這意味著個(gè)人數(shù)據(jù)細(xì)節(jié)被保留在汽車上，并且可以由擁有汽車或其某些組件的人深入挖掘。

　　特斯拉有時(shí)會(huì)雇請(qǐng)名為曼海姆(Manheim)的汽車拍賣公司來(lái)檢查、維修和銷售二手車。一位不愿透露姓名的前曼海姆公司員工證實(shí)，這些員工不會(huì)通過(guò)恢復(fù)出廠設(shè)置來(lái)清除這些汽車電腦中的數(shù)據(jù)。曼海姆公司拒絕置評(píng)。

　　去年年底，GreenTheOnly和同為特斯拉支持者的白帽黑客西奧(Theo)購(gòu)買了一輛曾撞毀的白色Model 3，用于研究目的。西奧曾修復(fù)了數(shù)百輛失事的特斯拉車輛。他們發(fā)現(xiàn)，這輛車屬于大波士頓地區(qū)的一家建筑公司，供在那里工作的人使用。該建筑公司沒(méi)有對(duì)置評(píng)請(qǐng)求做出回應(yīng)。

　　研究人員與CNBC分享了記錄，這些記錄顯示，這輛汽車的電腦存儲(chǔ)了至少17種不同設(shè)備的數(shù)據(jù)，而且數(shù)據(jù)都未加密。手機(jī)或平板電腦與汽車匹配了約170次。Model 3保存了11本電話簿的聯(lián)系人信息，這些信息來(lái)自與設(shè)備配對(duì)的司機(jī)或乘客，日歷條目中有計(jì)劃會(huì)面的說(shuō)明，以及受邀者的電子郵件地址。CNBC給幾個(gè)將手機(jī)與車輛配對(duì)的人打了電話，并給他們發(fā)了電子郵件，發(fā)現(xiàn)這些信息都是真實(shí)的。

　　數(shù)據(jù)還顯示了司機(jī)的最新73個(gè)導(dǎo)航位置，包括住宅地址、Wequassett度假村、高爾夫俱樂(lè)部以及當(dāng)?shù)谻hik-Fil-A和Home Depot的位置。然后，發(fā)生了撞車事故。這段從撞車事故Model 3中提取的視頻顯示，這輛車從右側(cè)車道快速駛?cè)胍粭l黑暗的雙車道路線左側(cè)的樹林中。

　　GPS和其他車輛數(shù)據(jù)顯示，事故發(fā)生在美國(guó)馬薩諸塞州奧爾良市的納木科伊特路(Namequoit Road)，時(shí)間是8月11日晚上11點(diǎn)15分，車禍嚴(yán)重程度足以讓安全氣囊展開(kāi)。

　　通話記錄顯示，事故發(fā)生時(shí)汽車?yán)锏膇Phone屬于擁有這輛Model 3的公司創(chuàng)始人兼董事長(zhǎng)的親戚。研究人員發(fā)現(xiàn)，在這輛車撞毀前的瞬間，來(lái)電記錄顯示，一名家庭成員給Model 3的司機(jī)打了電話。

　　另一個(gè)存儲(chǔ)在汽車上的視頻顯示，早些時(shí)候這輛車還發(fā)生過(guò)其他事故，Model 3側(cè)滑撞上了護(hù)欄。

　　輪子上的計(jì)算機(jī)

　　一般來(lái)說(shuō)，汽車已經(jīng)成為輪子上的計(jì)算機(jī)，它從用戶的移動(dòng)設(shè)備中獲取個(gè)人數(shù)據(jù)，從而實(shí)現(xiàn)“信息娛樂(lè)”功能或服務(wù)。汽車產(chǎn)生的額外數(shù)據(jù)被用于支持和訓(xùn)練先進(jìn)的司機(jī)輔助駕駛系統(tǒng)。與特斯拉自動(dòng)駕駛儀(Autopilot)競(jìng)爭(zhēng)的主要汽車制造商產(chǎn)品包括：通用汽車(GM)的凱迪拉克超級(jí)巡航系統(tǒng)(Cadillac Super Cruise)、日產(chǎn)英菲尼迪(Nissan Infiniti)的ProPilot輔助系統(tǒng)以及沃爾沃(Volvo)的Pilot Assist系統(tǒng)。

　　但GreenTheOnly和西奧指出，在特斯拉，儀表盤攝像頭和自拍攝像頭可以在汽車停放時(shí)記錄信息，即使是在你的車庫(kù)里，車主甚至不知道它們什么時(shí)候會(huì)這樣做。這些攝像頭支持“哨兵模式”等理想功能。在“看到”雨滴時(shí)，這些攝像頭可以操控雨刷器自動(dòng)打開(kāi)。

　　GreenThely解釋說(shuō)：“特斯拉并不是超級(jí)透明的，不知道他們的攝像頭在什么時(shí)候記錄什么，以及在內(nèi)部系統(tǒng)中存儲(chǔ)什么。你可以選擇退出所有數(shù)據(jù)收集活動(dòng)，但之后你就失去了‘無(wú)線軟件更新’和一大堆其他功能。因此，可以理解的是，沒(méi)有人會(huì)這樣做，我也勉強(qiáng)接受了這一點(diǎn)。”

　　西奧和GreenThely還表示，如果發(fā)生車禍，Model 3、Model S和Model X車輛將嘗試上傳自動(dòng)駕駛儀和其他數(shù)據(jù)給特斯拉。這些車輛有能力上傳其他數(shù)據(jù)，但研究人員不知道它們是否以及在什么情況下會(huì)嘗試這樣做。

　　特斯拉以技術(shù)前沿和對(duì)白帽黑客友好著稱。例如，該公司是第一家對(duì)其汽車進(jìn)行“空中更新”的汽車制造商。首席執(zhí)行官埃隆·馬斯克(Elon Musk)出席了像DefCon這樣的網(wǎng)絡(luò)安全會(huì)議，這讓出席會(huì)議的“代碼開(kāi)發(fā)者和破壞者”感到興奮。

　　特斯拉是少數(shù)幾家公開(kāi)吸引網(wǎng)絡(luò)安全專業(yè)人士加入其網(wǎng)絡(luò)的大公司之一，并呼吁那些發(fā)現(xiàn)特斯拉系統(tǒng)缺陷的人以有序的方式報(bào)告這些漏洞。這樣一來(lái)，該公司就有時(shí)間在問(wèn)題曝光之前修復(fù)問(wèn)題。特斯拉定期向發(fā)現(xiàn)并成功報(bào)告這些缺陷的個(gè)人支付高達(dá)上萬(wàn)美元的獎(jiǎng)金。

　　特斯拉負(fù)責(zé)管理“漏洞懸賞”計(jì)劃的BugCrowd平臺(tái)首席安全官大衛(wèi)·貝克(David Baker)指出，即使在創(chuàng)建支付服務(wù)PayPal的時(shí)代，馬斯克也是這種眾包安全研究的早期支持者。

　　然而，根據(jù)兩名要求匿名的前特斯拉服務(wù)員工的說(shuō)法，當(dāng)車主試圖分析或修改自己的汽車系統(tǒng)時(shí)，該公司可能會(huì)將他們標(biāo)記為黑客，并提醒特斯拉注意他們。然后，特斯拉會(huì)確保這些被標(biāo)記的人不是第一批獲得新軟件更新的人。

　　貝克表示：“特斯拉確實(shí)必須防范那些試圖對(duì)他們的軟件進(jìn)行逆向工程或進(jìn)行惡意黑客攻擊的人。他們不能就這么把車上的數(shù)據(jù)清除干凈。這些汽車實(shí)際上已經(jīng)是電腦，調(diào)查人員可能需要保留數(shù)據(jù)。但我認(rèn)為，他們想要研究的是一種將存儲(chǔ)的所有數(shù)據(jù)加密的方法，就像在你的手機(jī)上一樣。” (騰訊科技審校/金鹿)