广告

白帽黑客实锤特斯拉安全BUG,系统翻新服务泄露车主隐私

2020-05-08 12:30:39 网络整理 阅读:
特斯拉在废旧车机的处理中存在安全隐患,未擦除存储的信息或将导致车主个人隐私泄漏。

从2018年10月开始,特斯拉通过发布季度安全报告的方式,将使用Autopilot自动驾驶系统与没有使用Autopilot自动驾驶系统的每次发生事故所需的里程数进行比较,不断改进 Autopilot自动驾驶系统的安全性,树立自动驾驶行业基准。最新的安全报告表明,特斯拉Autopilot自动驾驶系统的安全性创了新的纪录,环比提高了50%以上。但另一方面,特斯拉在废旧车机的处理中存在安全隐患,未擦除存储的信息或将导致车主个人隐私泄漏。mfTednc

最新的消息表明,对于车载计算机,特斯拉选择处理的方式只是丢弃,而没有擦除存储的信息,可能会让车主帐户蒙受损失。mfTednc

白帽黑客实锤特斯拉车载电脑主板泄露车主隐私

据白帽黑客GreenTheOnly称,特斯拉的媒体控制单元和Autopilot硬件改装部门,在保护用户个人信息方面做得还不够。mfTednc

据了解,目前eBay(类似美国版淘宝)上充斥着大量二手特斯拉车机,通常可能记录有敏感信息,例如Google或Spotify用户名和密码,而更加麻烦的是,这些密码似乎并未加密。黑客们可以利用这些信息发起攻击,按照术语来讲,这是不能被泄漏的个人帐户隐私。mfTednc

著名的特斯拉网络黑客格林(Green @greentheonly)在eBay上购买了 4 个媒体控制单元和Autopilot硬件,并在其中发现了之前用户的个人信息。更令人担忧的是特斯拉对此事的回应。mfTednc

据GreenTheOnly称,在向InsideEVs报料前,他向特斯拉通报了其发现。但令人感到意外的是,特斯拉拒绝及时通知可能受影响的所有客户,只是表示将通知其中一名客户。mfTednc

GreenTheOnly向InsideEVs披露,他购买的所有硬件,都存储有“用户的家庭和工作地址、来自手机中的WiFi密码、日程表条目、通话记录、通讯录、Netflix等服务的cookie”。Netflix的cookie,使得黑客能控制这些账户。mfTednc

mfTednc

图:可能泄露用户个人信息的两种部件mfTednc

问题出在特斯拉媒体控制单元部件上

在Model S和Model X中,媒体控制单元和Autopilot硬件是彼此独立的;在Model3 和Model Y中,这两种部件合二为一,被称作ICE。mfTednc

出现问题的部件就包括Model S和Model X的媒体控制单元,以及Model3 的ICE。mfTednc

据了解,尽管特斯拉声称2019年4月22日后生产的车型都配备HW 3. 0 部件,但实际上在4月22日之后生产的许多Model3 仍配备较低版本的HW,用户必须更换ICE才能享受完全自动驾驶功能。mfTednc

GreenTheOnly表示,“这些部件在eBay上的价格从 500 美元到 150 美元不等,越来越多的人会出于研究目的购买它们。它们不会被更换到其他汽车中,因为这并非易事。有人找我帮助提取存储的数据后,我意识到了这一问题,然后从eBay上购买了一个部件,证实了相关说法。”mfTednc

CNBC2019年3月援引GreenTheOnly的消息刊文称, 在特斯拉服务中心的垃圾箱中找到的特斯拉汽车仍然存储有数据。mfTednc

“我通过适当的渠道与特斯拉安全部门联系,他们正在对此进行调查。但是考虑到按照规定步骤是可以将车机随便处理扔进垃圾桶,这种事情可以发生在任何人的身上。我们不禁想问,至少也要用锤子敲碎它吧。” GreenTheOnly发推表示。mfTednc

特斯拉当时回应称,用户可以利用工厂设置选项清除存储在汽车中的敏感数据。mfTednc

但据了解,重置程序只能在工厂进行,而不能在服务中心执行,一旦旧部件从汽车上拆除,用户就无法清除其中的数据了。mfTednc

根据特斯拉政策,更换下来的部件不属于用户所有。网上有消息称,要保留换下来的部件,用户需要花上 1000 美元,而根据特斯拉政策,替换下来的部件首先会被破坏,然后作为废品处理掉。mfTednc

因此,eBay上出售的二手车主要么是捡垃圾的人在垃圾桶找到将其出售给二手商,要么是特斯拉员工自己卖出了车机,这也是GreenTheOnly购买到遭到破坏的媒体控制单元的原因。mfTednc

mfTednc

图:经过破坏的特斯拉媒体控制单元部件mfTednc

GreenTheOnly表示,“我了解到的信息是,在作为废品处理前,工作人员会用锤子击打数次替换下来的部件。很显然,这不足以破坏数据。我甚至看到过价格低至 10 美元的这类部件。没有破坏的部件价格更高,因此,我猜测特斯拉工作人员有不使用锤子敲打这些部件的动机。”mfTednc

GreenTheOnly警告称,黑客甚至能知道这些部件是由哪个服务中心替换下来的。mfTednc

升级HW3.0要当心

GreenTheOnly认为特斯拉没有必要破坏掉这些部件,或收取客户 1000 美元,它完全可以清除其中的数据,并作为二手产品低价出售给其他用户。mfTednc

特斯拉可能认为重新销售这些部件物非所值,但它可以委托经过授权的商店清除数据、销售这些部件。除解决隐私担忧外,与简单地一扔了之相比,这种方式也更环保。mfTednc

GreenTheOnly表示,已经升级到HW 3. 0 的特斯拉用户,需要修改所有密码;尚未升级到HW 3. 0 的特斯拉用户,建议在升级前重置车载系统。mfTednc

(责编:Demi Xia)mfTednc

  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 成本100元,缓解M2 MacBook Air过热问题 国外有喜欢DIY的网友发现了一种简单且廉价的解决方案来缓解 M2 MacBook Air 过热问题的方法。但值得提醒的是,这种DIY方法会导致M2 MacBook Air的保修失效,因此,想要效仿的读者们要三思而后行哦。
  • 被央媒评论,华为力推的增程式混动是落后技术吗? 或许,增程式或者插电式混动技术能够满足当前里程焦虑问题,但待电池技术完全成熟以后新能源电动车市场或将以纯电技术为主流。
  • 手动拆解十万元的比亚迪“元”,附详细拆解图 大家是不是对手机、电脑等小型消费电子的拆解已经习以为常了?这次有个券商搞了个大动作,动手拆了一辆市场价值十万元的比亚迪“元”,还撰写了一份详细的拆解报告,刷屏了券商、汽车等行业,网友们也大呼“硬核”。
  • 蓉矽半导体1200V碳化硅二极管产品“NovuSiC® EJBS™ ​成都蓉矽半导体具有自主知识产权的1200V碳化硅二极管产品“NovuSiC® EJBS™”系列已经实现量产。
  • 电动商用车的三种不同充电方案 随着重型或商用车辆的电气化,为比电动乘用车更大的电池充电变得必要。由于时间就是金钱,特别是在物流领域,分配空闲时间进行充电或增加充电功率是首选方案。这导致了三种不同的充电方案。
  • 最关键的动力电池管理无线化量产,汽车wBMS技术已经自证 作为安全至关重要的汽车应用,无线何以在新能源汽车核心的电池模组中大行其道?ADI和整车厂商怎么确保安全可靠性?
  • 车辆电气化是交通运输行业实现减排的途径 本文概述了重型车辆电动化方面的电力电子技术详情,通过研究由能源生成、存储、运输和消耗构成的价值链,可帮助减低交通运输领域的碳排放。
  • 采用加速度计的地震探测器 该设备无意取代地质研究所所使用的专业模型,也无法提供对地震事件的精确测量。它有助于在不提供距离或震级的情况下被动地确定地震事件。
  • 25kW SiC直流快充设计指南 (第七部分):800V EV充电系 本篇将介绍25kW快充系统中的辅助电源设计。它基于onsemi针对800V母线电压的EV应用所做的一个辅助电源参考设计方案,即SECO-HVDCDC1362-40W-GEVB,它能提供15V/40W的持续输出供电。类似的方案还有SECO-HVDCDC1362-15W-GEVB,它能提供15V/15W的持续输出。
  • 25kW SiC直流快充设计指南(第六部分):用于电源模块的栅 本文的基础是使用安森美新型 SiC 模块构建 25 kW 快速电动汽车充电桩获得的经验。在此设计中,我们将使用安森美的 IGBT 电流隔离栅极驱动器作为起点,并介绍使用新的专用 SiC 电流隔离栅极驱动器进行的改进。本文介绍的所有栅极驱动器系列都采用相同的隔离技术和输出级技术。
  • 在自动驾驶汽车中实现5G和DSRC V2X 车辆通信是实现更高的自动驾驶水平的重要推动因素。但是,长期以来,汽车厂商一直在研究分析所需的无线接入技术应基于蜂窝技术(也称为C-V2X)还是基于直接接入技术(称为DSRC)。在本文中,我们将展示未来的自动驾驶场景需要协调或组合使用这两种技术。
  • 采用晶振控制的斜坡发生器 本项目源于需要为HP 8620C射频扫频振荡器产生线性晶体控制斜坡信号。它的灵感来自之前发布的斜坡发生器设计。这种设计存在两个问题:它使用了非标准的16.384MHz晶体振荡器;其斜坡的下降/返回/消隐时间为零。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了