白帽发现废弃的Tesla车辆中残留了未加密的视频和数据

据CNBC 报导,一项由白帽黑客(White Hat ,以改善问题为目标的黑客,多为计算机安全公司的雇员或希望借此获得悬赏的人士)进行的实验发现,废弃的Tesla 车辆中残存了大量的未加密数据,包括电话号码、录像视频、位置和导航数据等。这导致只要具有相关技术知识的人,其实都能借机入侵车上的计算机来获取各项数据。对于时常需要以蓝牙配对手机,内置各项行车纪录功能的 Tesla 来说,内藏丰富的数据似乎不是件令人意外的事。但由于 Tesla 并不会在车辆报废后自动删除这些数据,这项特色也着实成了一把双面刃。

一位化名为 GreenTheOnly 的研究人员告诉 CNBC,他为了研究这项状况,曾设法从报废的 Model X、Model S 和 Model 3 中打捞数据。同时他也与一名叫作 Theo 的白帽黑客合作,在去年底以研究为由购买了一辆几乎完全毁损的 Model 3。经过实验,他们发现这些车上至少残留了来自 17 项不同设备所记录的数据,包括车辆配对次数、11 份电话联系名单、含有活动细节的日历,甚至是活动邀请对象的电子邮件地址。此外,他们也成功找出了该车辆最后前往的 73 个目的地位置及导航数据,甚至是车辆遭遇车祸的录像视频。

对此,Tesla 发言人向 CNBC 表示,Tesla 目前已提供了回恢复厂设置的功能,让客户们可以选择删除个人数据或恢复默认设置。此外,他们也提供了代驾模式(Valet Mode ),可以在他人驾驶自己车辆时提供隐藏个人数据等功能。 Tesla 一向致力于寻找车辆功能与客户需求间的平衡,并会持续做出改进。

然而,拥有上面提到的这些功能,似乎仍无法全面防堵相关情况的发生。一家负责维修 Tesla 二手车的汽车拍卖公司先前才承认,他们并没有在出售车辆前将系统回恢复厂设置。如同研究所示,这代表了车上的数据仍有遭窃的风险。而且若车主们自行对车上的软件进行修改,也或将会被 Tesla 判定为黑客,而面临无法顺利升级到官方提供的最新版本软件的风险。

负责 Tesla 漏洞回应奖励计划的 BugCrowd 首席安全主管向 CNBC 解释,该公司之所以不自动删除车上的数据,是基于车祸这类事件在法庭上往往需要相关的佐证数据。但他也表示,他认为 Tesla 将会以为数据加密的方式来解决这方面的疑虑,就像市面上的手机一样。

发表评论