快捷搜索:  美女    名称  交警  美食

铁锤也“打不坏”的数据!特斯拉旧零件正在eBay上贱卖,黑客发现上面全是用户信息

  • 最新
  • 精选
  • 区块链
  • 汽车
  • 创意科技
  • 媒体达人
  • 电影音乐
  • 娱乐休闲
  • 生活旅行
  • 学习工具
  • 历史读书
  • 金融理财
  • 美食菜谱

铁锤也“打不坏”的数据!特斯拉旧零件正在eBay上贱卖,黑客发现上面全是用户信息

大数据文摘 大数据文摘 2020-05-15

大数据文摘出品
作者:刘俊寰、千雪

作为让日本工程师赞不绝口的汽车业龙头,特斯拉的一举一动始终都是媒体关注的焦点,疫情期间,马斯克的一系列迷惑言论更是让特斯拉赚足了眼球。

不过,文摘菌今天要说的不是特斯拉优秀的系统,也不是马斯克,而是特斯拉近日被曝出的系统安全问题

车载信息娱乐上,特斯拉称第二,恐怕还没人敢称第一,用户不仅可以连接WiFi播放Netflix和Youtube,或是打开Spotify,还能存储联系人的电话号码,可以说特斯拉的车载娱乐强大到了令人发指的地步。在享受便利之前,用户必须输入大量个人信息,而让人没想到的是,正是这些存储在特斯拉媒体控制单元(MCU)的信息,正成为隐私数据泄露的源头


近日,一位自称“对事物如何运作感到好奇的特斯拉修补匠”的黑客greentheonly发现,尽管这些媒体控制单元已经被特斯拉技术人员手工拆除,但其上仍存储着用户大量敏感信息,包括但不限于和手机连接的电话本、通话记录、日历项目、Spotify和Wi-Fi密码、家庭和工作地点的定位、导航去过的位置,以及允许访问Netflix和YouTube(还有附加的Gmail帐户)的会话cookies

更可怕的是,这些媒体控制单元能在eBay上以并不昂贵的价格买下。黑客表示,最近他收了13个特斯拉媒体控制单元,这些都是在特斯拉电动车在维修和翻新期间,工作人员亲手拆除的。

对于特斯拉车主们来说,这意味着什么呢?有网友做了一个实验,他从特斯拉ICE电脑上获得了一位车主的电话号码和地址,随后很轻松地开走了Model 3,后来他们通过电子邮件与车主取得了联系,车主表示:太可怕了!我确实有一辆Tesla 3,最近刚好在当地服务中心升级到了Hardware 3。


目前,特斯拉仍未针对此事有所回应。

铁锤也敲不坏的数据正成为工作人员的“外快”


在发现特斯拉的媒体控制单元在eBay上公开出售时,有人曾试图联系特斯拉的工作人员,他们都没有做出任何回复。据一位相关人士表示,根据特斯拉内部的规定,在扔掉旧计算机或者对其进行报废处理前,工作人员要先破坏它们

greentheonly透露道,特斯拉官方程序要求的是,在将拆下的媒体控制单元扔进垃圾桶之前,工作人员要么把部件完好无损地寄回给总部,要么用铁锤捶打一番,确定接口被彻底毁坏


但greentheonly在采访中表示,有些服务中心的员工可能在控制单元内部创建了一个销毁/处置记录,以便更方便地转让这些控制单元。他曾在垃圾打捞场听到有人悄悄说道,出售特斯拉的媒体控制单元是他们收入来源的一部分

在eBay上进行检索,能看到不少相关的商品信息,多方比较后发现,被铁锤捶打过的控制单元定价要低些,买家甚至可以用10美元的低价购入满满一盒的量,相反,未遭损坏的完整控制单元售价也就更高。

我们也就可以大胆猜测,正是经济元素成为了不使用铁锤处理这些控制单元的动力来源。


greentheonly表示,现在他手上共有13个特斯拉的媒体控制单元,其中12个都是在eBay上买到的,另外一个是从朋友那里收购的。

这13个控制单元的最后定位点显示是在特斯拉服务中心,这表明这些操作都是由特斯拉授权完成的。特斯拉服务站拆卸媒体控制单元的原因有很多,最常见的是更换故障设备,或者对设备进行升级更新,以改善车辆的自动驾驶系统。

对于特斯拉来说,比起直接销毁,或者收取1000美元的保管费,特斯拉可以有能力在抹去这些数据的基础上,以低价将其作为翻新品重新出售,更何况不少控制单元完全不需要任何物理维修,因为很多车主往往习惯于预防性地进行,或者想要试用新功能。

或者,特斯拉也可以把这些计算机送去给认证商家先行处理后,再进行转售,但种种原因,特斯拉并没有这样做,或许他们认为不值得。不过,除了数据隐私问题外,这样的做法也比直接扔垃圾箱更环保。

特斯拉如何开始全面沦陷的?


在特斯拉Model S和Model X上,MCU和自动驾驶硬件是独立的计算机,不过在Model 3和Model Y上,这些计算机被结合在一块硬件上,黑客们将其称为ICE


对于不同的车型,计算机需要更换的原因也就不尽相同。对于Model S和X来说,老款车的MCU时常需要更换,因为第一代被称为MCUv1的MCU有过度记录的问题,使用四五年后就会故障,此前车主们也提出相关的升级申请,要求特斯拉改装其第二代MCU(MCUv2),特斯拉对此的处理是用全新或翻新的MCUv1更换。

随后,特斯拉回应表示,已对MCUv1进行了改装,改装后缺陷就可以被修复。不过令人惊讶的是,不少人发现,MCUv2单元也出现了故障,但可能是EMMC芯片的制造问题。

不管是MCUv1还是MCUv2,都涉及到了这次的隐私问题。


对于Model 3,如果车主购买了完全自动驾驶(Full Self Driving,FSD)套件,旧车上的ICE电脑就需要升级。特斯拉已经有多个版本的HW计算机控制Autopilot并启用了完全自动驾驶功能,只有最新的HW 3.0才能为最新的FSD功能提供动力。

特斯拉曾承诺,2019年4月22日之后生产的所有汽车都将配备HW 3.0,但在很久之后,Model 3配备的仍然是早期的HW计算机。

无论哪种方式,如果购买了FSD,任何没有最新HW计算机的Model 3都需要更换整个ICE组件。虽然HW计算机上也没有个人数据,但它与Model 3中的MCU电脑结合在一起,正是后者储存了车主的个人数据。

有人从特斯拉Model 3车型上获得了三台ICE计算机,除此之外,他还得到了一台Model X MCUv2,虽然后者被破坏了,但数据仍然可以恢复。

"这些设备在eBay上的价格从开始的500多美元降到300,然后是200再到150,越来越多的人开始买来研究,但其实这些控制单元在汽车维修中并没有什么用处。由于相关工作尚需要专业知识,有人求助于我和其他的黑客,也有企业让我把数据提取出来,以引导研究。这时,我才意识到发生了数据泄露,随后我在eBay上购买了一台设备,确认了它的工作原理与此完全一样。"


早在2019年3月,根据CNBC报道,有网友发现,经过处理后的特斯拉中仍然存有用户数据。当时,特斯拉表示,车主可以恢复出厂设置,删除敏感数据,如果恢复出厂设置有效自然是好的,但是如今似乎已经无法适用了。 

要改造计算机,只能在特斯拉服务中心或通过移动服务部门才能进行,因此在拥有新车后,车主会希望将其所有个人数据传输到新计算机,特斯拉会将旧计算机中的数据传输到新计算机。但是,一旦将原始计算机从车辆上卸下后,车主也就失去了抹除其数据的权力

这就像保修更换一样,在执行FSD改造时车主不必保留旧零件,特斯拉声称这是免费的。当进行MCUv2升级或在尚未提供这种改造的地方必须将MCUv1替换为另一版本时,情况就不一样了。TMC论坛上有一个帖子表示,你可以支付1,000美元的“核心费用”来保留旧计算机。

但目前仍然无法联系到特斯拉进行证实。

岌岌可危的汽车数据


greentheonly的发现,不仅让特斯拉车主意识到他们正在承担着什么样的风险,还意味着几乎所有这种装有个人数据或提供远程追踪功能的车载设备,都会让用户处于风险之中。

比如福特,有网友表示,自己从汽车租赁公司租用福特汽车,但在他归还汽车后很长一段时间内,他都还可以对汽车进行远程的启动、停止、锁定和解锁,而且,这样的行为可以多次发生,在第一次远程控制的四个月之后,他成功进行了第二次远程控制。


就像特斯拉重新投放市场的媒体控制单元一样,汽车租赁公司未能要求员工完全消除车载系统中前一位客户的所有数据,然而,这无疑是应当避免的安全隐私风险。

这些事的要义在于,即使由用户自己来决定是否在出售汽车、归还租赁车辆或维修车载系统时恢复出厂设置,仍然无法保证用户以前存储的数据一定不会被恢复

这位黑客还说,特斯拉媒体控制单元将信息保存在SQLite数据库中,直到存储用户信息的硬盘驱动器被新数据覆盖,之前的信息才会被删除。虽然恢复出厂设置并非万无一失,但足以使恢复数据的过程变得困难且相当耗时,因此也可以算作一种比较有意义的(尽管并不完美)防御措施。

当然,真正有安全意识的人,应该彻底摧毁控制单元

相关报道:
https://arstechnica.com/cars/2020/05/hacker-mines-passwords-locations-and-more-from-retired-tesla-infotainment-gear/
https://insideevs.com/news/419525/tesla-data-leak-personal-info-ebay/


我的公司是否需要独立的数据团队?
我该何时、怎么样建设自己的数据团队?
数据团队的价值如何衡量?
疫情之下,数据团队又受到哪些影响?

一起透析数据团队建设全景!
扫码填写问卷▼




实习/全职编辑记者招聘ing

加入我们,亲身体验一家专业科技媒体采写的每个细节,在最有前景的行业,和一群遍布全球最优秀的人一起成长。坐标北京·清华东门,在大数据文摘主页对话页回复“招聘”了解详情。简历请直接发送至zz@bigdatadigest.cn



志愿者介绍
后台回复志愿者”加入我们


点「在看」的人都变好看了哦!

 人赞赏

长按二维码向我转账

受苹果公司新规定影响,微信 iOS 版的赞赏功能被关闭,可通过二维码转账支持公众号。

    前往看一看

    看一看入口已关闭

    在“设置”-“通用”-“发现页管理”打开“看一看”入口

    我知道了

    已发送

    发送到看一看

    发送中

    微信扫一扫
    使用小程序

    取消 允许

    取消 允许

    微信版本过低

    当前微信版本不支持该功能,请升级至最新版本。

    我知道了 前往更新

    确定删除回复吗?

    取消 删除

      知道了

      长按识别前往小程序

      本站仅按申请收录文章,版权归原作者所有
      如若侵权,请联系本站删除

      微信QQ空间新浪微博腾讯微博人人Twitter豆瓣百度贴吧

      觉得不错,分享给更多人看到

      区块链是什么?

      大数据文摘 微信二维码

      大数据文摘 微信二维码

      大数据文摘 最新文章

      铁锤也“打不坏”的数据!特斯拉旧零件正在eBay上贱卖,黑客发现上面全是用户信息  2020-05-15

      爱奇艺“能动的海报”刷爆全网!我们距离裸眼3D还有多远?  2020-05-15

      啃不动花书?复旦小哥配套数学推导与Python复现,GitHub星标1k  2020-05-15

      身为一名数据科学家“过来人”,我为什么更建议你去做软件工程师  2020-05-15

      20万美元,最高提速200倍!黄教主烤箱掏出7nm安培芯片,GPU史上最大性能飞跃  2020-05-14

      福布斯:疫情寒冬下,这25家AI初创企业凭什么逆势融资?  2020-05-14

      中国团队Nature新冠论文被指图片造假,科研论文不端“何时休”  2020-05-14

      也有个自由职业梦?日本码农辞职一年后:独立工程师太难了  2020-05-14

      COBOL课程登顶GitHub后,我们找到了这门上古语言“传承人”:过时语言值得拯救吗  2020-05-13

      推特CEO宣布员工可无限期在家办公!远程工作时代到来?  2020-05-13

      (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })(); (function(){ var src = (document.location.protocol == "http:") ? "http://js.passport.qihucdn.com/11.0.1.js?ba34c9f41d18b62312e960833b3cb4ae":"https://jspassport.ssl.qhimg.com/11.0.1.js?ba34c9f41d18b62312e960833b3cb4ae"; document.write(''); })(); (function(){ $("img").lazyload({ effect: "fadeIn", threshold: 200, }); })();

      您可能还会对下面的文章感兴趣: