最近，再次晉升奶爸的馬斯克，說有人翻墻到他家里侵犯隱私，為保護自己，他還曾買下自己家周圍的房子，然而還是無濟于事，為此他打算賣掉豪宅租房住，然而對于特斯拉的車主隱私問題卻沒有得到好的解決......

本文來源：DeepTech

最近，再次晉升奶爸的馬斯克，說有人翻墻到他家里侵犯隱私，為保護自己，他還曾買下自己家周圍的房子，然而還是無濟于事，為此他打算賣掉豪宅租房住。

大佬重視隱私，早已不是新鮮事，扎克伯格為保護自己，也曾買下自家周圍四棟房子。
頗有玩味的是，F(xiàn)acebook 因為隱私問題沒少上新聞。
而近日，國外白帽黑客曝光，有特斯拉車主換掉車內(nèi)媒體控制中心后（Media Control Center，MCU，可以理解為“車載電腦主板”，以下簡稱“車載電腦”），存儲在舊車載電腦中的個人信息，遭到泄露。

另據(jù)美國權(quán)威新能源汽車媒體 INSIDEEVS 報道，車主到特斯拉售后服務(wù)門店，更換車載電腦后，特斯拉一般會把車主留下的舊車載電腦，砸壞后處理。

然而，在美國電商網(wǎng)站 eBay 上，有人在賣二手特斯拉車載電腦。車主的廢舊零件，為何跑到網(wǎng)上，目前尚不可知。

黑客獲取信息，并聯(lián)系上車主

前面提到那位黑客 green，親自買來二手車載電腦，發(fā)現(xiàn)車主的通訊錄、通話記錄、日歷日程、位置軌跡記錄等，都在里面。

他還嘗試聯(lián)系車主，居然聯(lián)系上了！
為確定這事兒，DeepTech 給特斯拉中國區(qū)公關(guān)郵箱發(fā)郵件，截止發(fā)稿，未收到回復(fù)。
5 月 8 日下午，DeepTech 來到北京某特斯拉門店實地探訪，試駕了一輛特斯拉 Model 3 升級版。

這就是車載電腦主板的樣子，跟常見的筆記本顯示屏差不多大。

銷售人員說，目前車載電腦不支持下載軟件，只能玩幾個游戲、聽聽 QQ 音樂和喜馬拉雅音頻等。
對于一般多久需要換一次主板的詢問，對方答，不需要更換，理由是“它不能像電腦那樣下載軟件，內(nèi)存不受影響，自然就不會變卡?！?/p>

和很多汽車一樣，手機連接車載電腦后，就能用車載電腦打電話。

連接后，如下圖，手機通訊錄、通話記錄等信息，就會顯示到電腦上。

因為這是一輛試駕車，當(dāng)連接藍牙后，屏幕上還顯示了過往連接車載電腦的用戶名。

試駕結(jié)束時，當(dāng)要求刪除相關(guān)藍牙連接記錄，銷售回應(yīng)稱，很少遇到提這個要求的試駕者。
畢竟，銷售的 KPI 是賣車，她主要介紹特斯拉的智能輔助駕駛功能如何好、加速功能如何棒等等，對于車載電腦的問題，則知之甚少。
后來打電話問中國區(qū)客服，客服說車載電腦壞了是可以換的，但對于替換后，是否會出現(xiàn)信息泄露，她表示在線上回答不了。
DeepTech轉(zhuǎn)而去特斯拉天貓官方旗艦店問客服，結(jié)果客服推說去問門店。

你看，整成死循環(huán)了。

在官方渠道問詢無果后，DeepTech 嘗試進一步探索造成特斯拉數(shù)據(jù)泄露的原因。
此前有自媒體分析，數(shù)據(jù)之所以泄露，很有可能是特斯拉未對車載電腦系統(tǒng)，進行數(shù)據(jù)加密。針對這個推測，DeepTech 采訪到 360 智能網(wǎng)聯(lián)汽車安全實驗室 SkyGo 團隊，發(fā)現(xiàn)數(shù)據(jù)泄露的原因，并非是簡單的“沒有加密”。
據(jù) 360 SkyGo 團隊安全研究負責(zé)人嚴敏睿介紹，從技術(shù)角度，不能說廠商對系統(tǒng)硬盤進行了數(shù)據(jù)加密就是安全的，因為退役的零部件，本身就不應(yīng)該還保留著用戶數(shù)據(jù)；其次，數(shù)據(jù)加密解密的實現(xiàn)方法是否正確，也將影響到用戶信息的安全。
在此次事件中，特斯拉中控主機可以脫離整車正常運行，如果廠商對存儲芯片應(yīng)用了加密手段，在正常運行過程中，就會對數(shù)據(jù)解密，攻擊者還是可以通過正常使用中控主機的交互功能，看到用戶隱私數(shù)據(jù)。而這也表明數(shù)據(jù)加密，并非此次事件的根本原因。
其根本原因存在于信息安全管理體系中，退役流程和信息安全功能設(shè)計中存在問題，1、為何退役的設(shè)備中還保留著用戶數(shù)據(jù)？2、為何單個零部件可以在脫離整車的情況下獨立正常使用？
從信息安全管理的角度看，首先，針對用戶的退役設(shè)備，應(yīng)將用戶數(shù)據(jù)進行銷毀；其次，信息安全功能設(shè)計的時候，在非車廠維修場景下，應(yīng)當(dāng)不允許零部件在脫離整車的情況下獨立使用，應(yīng)當(dāng)具備防盜功能。因此，這次事件由上述兩個原因?qū)е?，其根本是缺乏完善的信息安全管理機制。
那么，作為普通用戶，該怎么辦？
嚴敏睿建議：“從用戶角度而言，作為非專業(yè)使用者，無法在購買產(chǎn)品之前，發(fā)現(xiàn)或者排除產(chǎn)品的信息泄漏風(fēng)險，只能通過試用或者咨詢的方式，了解該產(chǎn)品是否提供讓用戶抹除數(shù)據(jù)的功能。
但從技術(shù)角度而言，即使提供該功能，也無法 100% 肯定數(shù)據(jù)完全被抹除。所以用戶可以在賣車、或者更換零部件時，應(yīng)主動刪除個人相關(guān)信息，同時主動要求 4S 店和廠商刪除該零部件上的個人相關(guān)數(shù)據(jù)。如果信息發(fā)生泄漏，可以依法維權(quán)，中國《網(wǎng)絡(luò)安全法》和歐盟《通用數(shù)據(jù)保護條例》（GDPR）和美國《加州消費者隱私法案》（CCPA），都對個人信息保護有所規(guī)定；同時中國國家標(biāo)準《個人信息安全規(guī)范》中規(guī)定，個人信息主體注銷賬戶后，應(yīng)及時刪除其個人信息或匿名化處理，這是對《網(wǎng)絡(luò)安全法》中對個人信息保護相關(guān)條款的細化與補充?！?br/>

智能汽車安全漏洞頻發(fā)

據(jù) 360 智能網(wǎng)聯(lián)汽車安全實驗室的《 2019 智能網(wǎng)聯(lián)汽車信息安全年度報告》顯示，2019 年，特斯拉汽車銷量，位居全球的純電動汽車銷量榜第一，市場份額高達 23%。

2019 年，特斯拉也出現(xiàn)過小偷使用中繼攻擊（Relay Attack）技術(shù)，僅用不到三十秒，就在沒有鑰匙情況下、偷竊特斯拉 Model S 的案例。

同年，騰訊科恩實驗室通過編號為 CVE-2018-16806 的無線芯片固件與無線芯片，驅(qū)動兩個漏洞、并使用基于堆的緩沖器溢出攻擊，實現(xiàn)了在特斯拉 Model S/X 系列汽車的 Parrot 模塊 Linux 系統(tǒng)中，執(zhí)行任意命令的攻擊。
注意，是任意命令。
另據(jù)相關(guān)研究報告披露，利用這兩個漏洞、僅通過發(fā)送無線數(shù)據(jù)包的形式，能在 Parrot 系統(tǒng)內(nèi)部實現(xiàn)大約 10% 的遠程命令執(zhí)行成功概率。
不過，特斯拉也已經(jīng)在 2019.36.2 版本中，對該漏洞做了修復(fù)。

固然很多技術(shù)，都是邊走邊迭代。但用戶信息是大事，得罪這個基本盤，企業(yè)很難走長遠。
截止發(fā)稿，尚未發(fā)現(xiàn)有中國特斯拉用戶，反映類似情況。但無論如何，打算買智能汽車、或者正在開智能汽車的車主，都得上點心了！
特別是已經(jīng)更換過車載主板的車主，不管是什么品牌的智能車，最好都留意下隱私是否已經(jīng)泄露。