报告:特斯拉上存储的未加密视频和个人数据引发重大隐私问题
想象一下,你的车撞坏了,然后有人用录像勒索你。
随着汽车越来越先进,技术越来越多,它们已经开始引起安全研究人员的注意。特别是一位分析师最近购买了一辆抢救下来的汽车特斯拉模型3为了进行一系列的测试,最终确定这辆车储存了大量未加密的个人数据,任何能接触到这辆车的人都可以访问这些数据。
一名自称“白帽黑客”的研究人员GreenTheOnly经常利用特斯拉有利的bug悬赏程序.这种互惠互利的策略有助于特斯拉修补严重的安全漏洞,同时奖励发现这些漏洞的研究人员数千美元的奖金。最近,研究人员与CNBC在匿名的条件下,显示出他能够从救援车辆中提取多少个人数据。
这名研究人员和他的同事(购买并修理了数百辆特斯拉失事汽车)最近购买了一辆在垃圾场发现的3号模型.GreenTheOnly将对这辆车进行研究,他发现在车被拖走报废后,车里留下了数量惊人的个人数据。
利用在车里找到的信息,这辆车能够被精确定位回车主,这是一家位于大波士顿地区的建筑公司。研究人员能够收集至少17个不同的设备存储的数据,这些设备在汽车使用期间与汽车相连,没有一个是加密的。数据包括11个电话簿的联系信息,配对设备的日历条目,甚至一系列的电子邮件地址。研究人员还发现了司机最后导航到的73个地点。
但也许在车里发现的最致命的证据是发生在失事的Model 3上的两起不同的车祸的视频。
第一个视频显示了最终将汽车带到打捞场的撞车事故。那辆汽车失控加速,撞上了路另一边的树木。GPS和时间戳数据也包括在内,显示了坠机的准确时间和地点。
但还有更深层的原因。事故发生时的手机数据包含了足够的个人身份信息,可以确定谁可能在车里。当时,与这辆车配对的一部手机恰好属于Model 3所属建筑公司创始人的一位亲属,通话记录显示,就在它坠毁前几分钟,一名家庭成员曾给它打过电话。
位置数据显示了飞机坠毁的时刻。
第二段视频揭示了早些时候的一场事故,Model 3撞到了护栏。更多的视频片段显示,人们普遍不顾安全,也不认为驾驶人是在受损情况下驾驶的。
任何愿意购买EDR电缆的个人都可以收集有限的数据事故数据组为995美元。可以用原始数据采集输出特斯拉的功能的工具然后重新上传到特斯拉的网站上为了生成一个基本的EDR报告(特斯拉的报告样本从一辆Model S可以在这里找到).视频和其他个人数据无法通过这种方式收集,需要一种更具侵入性的方式。
特斯拉车主喜欢的一个功能是最近更新的哨兵模式,这是一个类似安全的应用程序,可以在车辆停放时进行基于事件的记录。具体来说,这一功能旨在帮助捕获破坏者和防止盗窃。但是,当使用哨兵模式时,摄像头不仅仅是在记录。事实上,车主无法知道他们的摄像头——包括面向机舱的内部摄像头——何时在拍摄视频。