最近,特斯拉车主除了经受一波“被割韭菜”的心塞外,还得遭受数据泄露的危机。
国外研究员GreenTheOnly称,他从eBay上购买的二手特斯拉媒体控制单元(MCU)和Autopilot硬件中,发现记录着大量特斯拉车主的个人数据:
包括电话簿、通话记录、日程表、以明文形式存储的WiFi密码,甚至家庭住址、工作地点和所有导航到的位置,以及第三方应用(Spotify、Netflix、Gmail、YouTube等)账户ID和密码。
此时此刻,特斯拉计算机配件,正带着前主人们的信息在二手市场裸奔,而黑客甚至可以轻而易举地获取车主们最为敏感的信息。
这一切很可能要归咎于特斯拉在媒体控制单元(MCU)、自动驾驶仪硬件的改装服务(简称HW),对用户隐私数据的保护不力。
图:可能泄露用户个人信息的两种部件
据GreenTheOnly说,他手上的13台二手MCU设备的最后一个地点,均显示为特斯拉服务中心,这表明这些旧设备是特斯拉授权的技术人员卸下来的。
根据特斯拉政策,维修和改装过程中更换下来的部件不再属于车主。旧部件会被工作人员用锤子敲击、破坏,然后作为废品处理丢弃。
图:经过破坏的特斯拉媒体控制单元部件
当然,锤击旧组件这种可笑的做法没有丝毫意义,数据并不会被破坏,只会降低这些旧组件的售价而已。
实际上,这些设备已经“流”向了eBay和其他二手商品交易网站,例如Bonanza。用户花费低至10美元就可以购买到一整箱,而提高价格甚至可以买到未被损毁的组件。
图:eBay交易价格信息
图:Bonanza交易价格信息
这些含有用户数据的废弃组件是如何流动到市场上的?
有两种解释:一种是服务中心对替换下来的部件没有按规定进行破坏;另一种解释是技术人员私自出售这些零部件牟利。也可能这两者兼而有之。
更加令人担忧的是,GreenTheOnly在向媒体报料之前,已经向特斯拉通报了这一发现。但特斯拉拒绝及时通知可能受影响的所有车主,只是表示将通知其中一名客户。
Greentheonly称,他可以访问这些信息,是因为特斯拉系统使用的是SQLite数据库。
对于SQLite数据库,恢复出厂设置只意味着操作系统将释放该特定模块上的空间,但已经写入的数据仍保留在原处。只有当硬盘驱动器上的特定模块被新信息覆盖重新写入,原有信息才会真正清除。
图:泄露用户数据信息
GreenTheOnly的意外发现让大家意识到,对旧计算机组件的轻率处理,不仅对特斯拉车主带来数据泄露风险,更是几乎对任何装有车载设备的用户都带来安全隐患。
试想,当这些存储个人数据或提供远程跟踪的计算机组件被黑客利用,后果等同于将车主的隐私信息与行车安全,送至攻击者手中完全掌握。
图:泄露用户数据信息
所以,GreenTheOnly提醒到,已经升级到HW 3.0的特斯拉用户,建议尽快修改所有密码;尚未升级到HW 3.0的特斯拉用户,建议在升级前重置车载系统。
最后,零日觉得,车载计算机系统安全问题值得大家多加留意,尤其是卖车、归还租车或是维修升级时,尽量确保个人数据已被清除。当然,恢复出厂设置也并非万无一失,最好是厂商把硬盘换成SSD,保管好存储个人数据的软硬件,更靠谱些。
零日情报局作品
微信公众号:lingriqingbaoju
参考资料:
[1] insideevs 《特斯拉数据泄漏:带有个人信息的旧组件在eBay上找到了出路》