微信公众号出行一客(ID:carcaijing )原创,作者 | 郭宇 ,编辑 | 王静仪
刚被吐槽先涨价后降价的特斯拉,再一次成为了焦点。这次被质疑的是其用户数据隐私的安全性。
你的特斯拉真的安全吗?美国新能源汽车媒体Inside EVs最近发布的调查文章并不乐观。
报道显示,黑客greentheonly在研究了13块二手特斯拉的车载媒体控制单元(MCU)后发现,尽管这些二手MCU恢复了出厂设置,但还是能恢复大量数据。这些数据包括通讯录、通话记录、日历事件、以及在车上登录过的Spotify、Netflix、Gmail等的账号密码。
具体来说,最近在特斯拉服务中心更换或升级了媒体控制单元(MCU)、自动驾驶硬件或ICE硬件(结合了MCU和自动驾驶硬件的单元)的车主,可能受到数据泄露影响,涉及车型包括Model X、Model S以及Model 3。
目前,特斯拉方面还没有任何回应。
如何泄密?greentheonly称,因为特斯拉系统使用的是SQLite数据库。
一位信息安全方向的软件工程师告诉出行一客,车载系统使用SQLite数据库的关键原因是轻。具体体现在占用内存小、操作速度快、支持多种开发语言等等。但是在安全方面,SQLite数据库却没有足够的安全性保障。恢复出厂设置只是看起来数据“消失”了,实际上,只有系统重新写入数据后,原有信息才会真正被抹除。
此外,根据Inside EVs的报告,特斯拉在改造过程中保护用户数据的方法有些初级。
不明身份的消息来源称,特斯拉告诉服务中心的技术人员“在扔掉更换的电脑之前,要么把它们扔掉,要么把它们损坏。”这些说法目前没有得到特斯拉的证实,但greentheonly告诉Inside EVs,黑客们也听说过这项政策,“我还听说,把它们扔进垃圾桶的前要先用锤子敲几下。”
这并不是greentheonly第一次向媒体表达对特斯拉数据安全的担忧。
2019年3月,CNBC的一篇报道详细介绍了greentheonly的发现:废品场和拍卖会上出售的坠毁的特斯拉汽车未进行数据加密。他从S型、X型和3型车辆中提取了未加密的撞车视频、通讯里、日历事件等数据。
在CNBC报道时,特斯拉发表了一份声明,表示车主能够使用恢复出厂设置选项从汽车中删除个人数据。但是这并不适用于汽车坠毁这一情况。
如今的局面是,这些被替换掉的硬件,出现在了ebay和一些二手网站上。greentheonly用来研究的十几块MCU就有从ebay上购买的。
至于这些硬件为何最终出现在网上售卖,Inside EVs在报道中提到了两种可能。一是服务中心的损坏处理方式不过关,二是技术人员私下的倒卖行为。
根据greentheonly的说法,此次他在发现问题后已经告知了特斯拉,但是特斯拉方面目前并没有及时通知所有可能受到影响的客户。
greentheonly在Twitter上写道:“尤其恼人的是,我希望他们在去年CNBC报道之后,开始对数据进行加密,但没有。我想,这次他们肯定会采取行动。”(责编/杨佩谦)
【文章来自微信公众号出行一客(ID:carcaijing),《财经》杂志交通工业组创建,专注交通出行领域新闻,致力于探索出行、科技与未来。】