OPS二手特斯拉齿轮有用户数据

2020-05-06 18:44:06

特斯拉信息娱乐系统令人叹为观止。除了其他功能外,它们还可以显示Netflix或YouTube视频,运行Spotify,连接Wi-Fi,当然还可以存储联系人的电话号码。但这些好处需要存储大量的个人信息,一位业余研究人员发现,这些信息可以泄露车主最敏感的数据。

这位研究人员自称是“对事物如何运作感到好奇的特斯拉修理工”,最近他接触到了13个特斯拉MCU(媒体控制单元的缩写),这些单元在维修和翻新期间被从电动汽车上移除。尽管这些设备都已退役,但每台设备都存储了大量敏感信息。例如,联网手机的电话簿、包含数百个条目的通话记录、最近的日历条目、以纯文本存储的Spotify和W-Fi密码、家庭、工作和导航到的所有地点的位置,以及允许访问Netflix和YouTube(以及附加的Gmail账户)的会话cookie。

所有13台设备都显示,它们最后的位置是在特斯拉的服务中心,这表明它们是由授权的特斯拉技术人员拆除的。特斯拉服务站出于几个原因移除了MCU。最常见的是更换有故障的设备,或者升级到更新的、更先进的设备型号,以改进车辆的自动驾驶。

这位署名为greentheonly的研究人员告诉我,他从eBay上获得了12个这样的单元,就是从这样的页面上得到的。另一张是朋友给他的。根据他的谈话,他认为特斯拉的官方程序要求将移除的MCU完好无损地送回特斯拉,并拆除损坏的单元,以确保连接器受到足够的损坏,然后扔进垃圾桶。

这位研究人员在接受采访时说:“看起来有些服务中心的员工出售完好无损的设备,而不是退货(我想他们只是在内部创造了销毁/处置的记录)。”“我认识一些经营打捞场的人,他们说,这是他们待售单位的一个来源。”

特斯拉的代表没有回复电子邮件,询问该公司在处理从车辆上卸下的MCU方面的政策是什么。

Greentheonly的发现揭示了一个风险,不仅对特斯拉的车主,而且对几乎任何安装了存储个人数据或提供远程跟踪的车载设备的司机都构成了风险。一名从Enterprise Rent-a-Car租用福特汽车的男子报告说,在他归还车辆很长时间后,他不仅归还了一次,而且在第一次归还四个月后,他有能力远程启动、停止、锁定、解锁车辆。与重返市场的特斯拉MCU一样,租赁公司未能要求员工完全擦除信息娱乐系统中所有以前客户的数据,这是一个很容易避免的安全和隐私风险。

这些故事的寓意是,在出售汽车、归还租车或维修信息娱乐系统时,由个人来执行工厂重置。即使这样,也不能保证以前存储的数据不能恢复。研究人员说,特斯拉MCU将信息保存在SQLite数据库中,在存储信息的硬盘块被新数据覆盖之前,该数据库不会被删除。虽然工厂重置可能不是万无一失的,但它可能会使恢复过程变得困难和耗时,足以提供有意义的(如果不完美的)防御。在可能的情况下,真正有安全意识的人应该摧毁这些单位。