即使在工厂重置后,特斯拉媒体单元也充满了所有者的私有数据

2020-05-08 10:28:50

有一位Twitter账号为GreenTheOnly的黑客/安全研究员一直在用二手特斯拉部件做一些有趣的工作。这一次,他特别收购了三个特斯拉Model3集成媒体控制单元(MCU)和自动驾驶(HW)单元(称为ICE计算机,仅适用于Model 3和Y型),以及一个Model X MCU单元。这些都是在eBay上购买的,尽管已经重置,格林发现大量的私人所有者信息和密码仍然可以很容易地从这些单元中找回。

格林将他的发现带给了Inside EV,并向他们提供了更多关于他是如何收购这些单位的信息:

在eBay上,这些单元的价格开始从500多美元降到300美元,然后是200美元,然后是150美元,以此类推,所以越来越多的人开始购买它们进行研究。它们在汽车维修中毫无用处,因为没有简单的方法可以在其他汽车上使用它们。因为你需要专业知识才能入门,所以有些人求助于我和其他“黑客”来帮助他们入门。一些单位被派来给我,从他们那里提取数据,也是为了引导一些研究。这就是我意识到发生的数据泄露事件的时候。然后我在eBay上买了一台,以确认它的工作原理完全一样。确实如此。

特斯拉车主可能需要更换这些设备的原因有很多:例如,如果你在现有汽车上添加Autopilot,一些早期车型存在数据记录问题,导致几年后出现故障,以及其他各种损耗和故障问题。

一旦拿到了这些设备,格林发现上面仍然有数量惊人的数据,这些数据似乎是在每次Model3启动时拍摄的调试屏幕截图:

“.业主的家庭和工作地点,所有保存的wi-fi密码、电话日历条目、配对电话、Netflix和其他存储的会话cookie的通话列表和地址簿。”

这是一个足够大的安全漏洞,足以驾驶一辆Model X通过,即使猎鹰的车门是开着的。而且,说到Model X,他从那个型号得到的部件在物理上已经损坏了,但数据仍然可以恢复。

格林在他的Twitter上提供了更多细节,澄清说Spotify的密码是以纯文本形式存储的,Netflix和Gmail的密码是以Cookie格式存储的:

获取日历事件、所有者电话簿和通话记录的能力也是严重的安全漏洞。

根据特斯拉车主论坛的说法,当车主决定升级他们的汽车电脑时,特斯拉只会让他们保留原来的硬件,费用是1000美元。是的,你必须付钱让公司拿走你买车时应该拥有的硬件,这是很奇怪的,但特斯拉对你认为你用车买了什么的非传统想法有过一段历史。

汽车功能从硬件迁移到软件的一个较少考虑的副作用是…。

多读。

内部电动汽车试图联系特斯拉,询问他们为什么不加密数据,或者至少在丢弃旧电脑之前销毁数据,如果他们有任何计划在未来改进他们的做法,但对于我们这些在过去一年左右试图联系特斯拉的人来说,并不令人惊讶的是,截至发稿时,他们没有收到任何回应,如果我必须打赌的话,他们不会。

所以,对于特斯拉车主来说,我想,如果你要更换汽车的电脑,不要指望你的任何信息都会保持安全。

如果你能拿到你原来的电脑,要么愤怒地付给特斯拉一千美元,要么从你服务中心的垃圾箱里挖出来,你就可以试着真正摧毁它,也许是用乙炔焊枪什么的。

除此之外,特斯拉似乎并不太关心你的隐私,考虑到他们还没有真正解决格林和CNBC去年提出的二手特斯拉的隐私问题,我不建议采取任何屏息行动。

这是一个与我们以前真正遇到过的非常不同的汽车零部件和维修世界。当然,在易趣上购买零部件可以透露出谁在你之前拥有过这些零部件的信息,但这通常仅限于在旧的大众热交换器内找到包裹好的塔可贝尔包装纸。这类数据漏洞严重,特斯拉需要加以解决。

高级编辑,Jalopnik·正在运行:1973 VW Beetle,2006 Scion xB,1990 Nissan Pao,1991 Yugo GV Plus·不那么运行:1973 Reliant Scimitar,1977 Dodge Tioga RV(也请购买我的书!)