广告

白帽黑客实锤特斯拉安全BUG,系统翻新服务泄露车主隐私

2020-05-08 网络整理 阅读:
白帽黑客实锤特斯拉安全BUG,系统翻新服务泄露车主隐私
特斯拉在废旧车机的处理中存在安全隐患,未擦除存储的信息或将导致车主个人隐私泄漏。

从2018年10月开始,特斯拉通过发布季度安全报告的方式,将使用Autopilot自动驾驶系统与没有使用Autopilot自动驾驶系统的每次发生事故所需的里程数进行比较,不断改进 Autopilot自动驾驶系统的安全性,树立自动驾驶行业基准。最新的安全报告表明,特斯拉Autopilot自动驾驶系统的安全性创了新的纪录,环比提高了50%以上。但另一方面,特斯拉在废旧车机的处理中存在安全隐患,未擦除存储的信息或将导致车主个人隐私泄漏。HV2ednc

最新的消息表明,对于车载计算机,特斯拉选择处理的方式只是丢弃,而没有擦除存储的信息,可能会让车主帐户蒙受损失。HV2ednc

白帽黑客实锤特斯拉车载电脑主板泄露车主隐私

据白帽黑客GreenTheOnly称,特斯拉的媒体控制单元和Autopilot硬件改装部门,在保护用户个人信息方面做得还不够。HV2ednc

据了解,目前eBay(类似美国版淘宝)上充斥着大量二手特斯拉车机,通常可能记录有敏感信息,例如Google或Spotify用户名和密码,而更加麻烦的是,这些密码似乎并未加密。黑客们可以利用这些信息发起攻击,按照术语来讲,这是不能被泄漏的个人帐户隐私。HV2ednc

著名的特斯拉网络黑客格林(Green @greentheonly)在eBay上购买了 4 个媒体控制单元和Autopilot硬件,并在其中发现了之前用户的个人信息。更令人担忧的是特斯拉对此事的回应。HV2ednc

据GreenTheOnly称,在向InsideEVs报料前,他向特斯拉通报了其发现。但令人感到意外的是,特斯拉拒绝及时通知可能受影响的所有客户,只是表示将通知其中一名客户。HV2ednc

GreenTheOnly向InsideEVs披露,他购买的所有硬件,都存储有“用户的家庭和工作地址、来自手机中的WiFi密码、日程表条目、通话记录、通讯录、Netflix等服务的cookie”。Netflix的cookie,使得黑客能控制这些账户。HV2ednc

HV2ednc

图:可能泄露用户个人信息的两种部件HV2ednc

问题出在特斯拉媒体控制单元部件上

在Model S和Model X中,媒体控制单元和Autopilot硬件是彼此独立的;在Model3 和Model Y中,这两种部件合二为一,被称作ICE。HV2ednc

出现问题的部件就包括Model S和Model X的媒体控制单元,以及Model3 的ICE。HV2ednc

据了解,尽管特斯拉声称2019年4月22日后生产的车型都配备HW 3. 0 部件,但实际上在4月22日之后生产的许多Model3 仍配备较低版本的HW,用户必须更换ICE才能享受完全自动驾驶功能。HV2ednc

GreenTheOnly表示,“这些部件在eBay上的价格从 500 美元到 150 美元不等,越来越多的人会出于研究目的购买它们。它们不会被更换到其他汽车中,因为这并非易事。有人找我帮助提取存储的数据后,我意识到了这一问题,然后从eBay上购买了一个部件,证实了相关说法。”HV2ednc

CNBC2019年3月援引GreenTheOnly的消息刊文称, 在特斯拉服务中心的垃圾箱中找到的特斯拉汽车仍然存储有数据。HV2ednc

“我通过适当的渠道与特斯拉安全部门联系,他们正在对此进行调查。但是考虑到按照规定步骤是可以将车机随便处理扔进垃圾桶,这种事情可以发生在任何人的身上。我们不禁想问,至少也要用锤子敲碎它吧。” GreenTheOnly发推表示。HV2ednc

特斯拉当时回应称,用户可以利用工厂设置选项清除存储在汽车中的敏感数据。HV2ednc

但据了解,重置程序只能在工厂进行,而不能在服务中心执行,一旦旧部件从汽车上拆除,用户就无法清除其中的数据了。HV2ednc

根据特斯拉政策,更换下来的部件不属于用户所有。网上有消息称,要保留换下来的部件,用户需要花上 1000 美元,而根据特斯拉政策,替换下来的部件首先会被破坏,然后作为废品处理掉。HV2ednc

因此,eBay上出售的二手车主要么是捡垃圾的人在垃圾桶找到将其出售给二手商,要么是特斯拉员工自己卖出了车机,这也是GreenTheOnly购买到遭到破坏的媒体控制单元的原因。HV2ednc

HV2ednc

图:经过破坏的特斯拉媒体控制单元部件HV2ednc

GreenTheOnly表示,“我了解到的信息是,在作为废品处理前,工作人员会用锤子击打数次替换下来的部件。很显然,这不足以破坏数据。我甚至看到过价格低至 10 美元的这类部件。没有破坏的部件价格更高,因此,我猜测特斯拉工作人员有不使用锤子敲打这些部件的动机。”HV2ednc

GreenTheOnly警告称,黑客甚至能知道这些部件是由哪个服务中心替换下来的。HV2ednc

升级HW3.0要当心

GreenTheOnly认为特斯拉没有必要破坏掉这些部件,或收取客户 1000 美元,它完全可以清除其中的数据,并作为二手产品低价出售给其他用户。HV2ednc

特斯拉可能认为重新销售这些部件物非所值,但它可以委托经过授权的商店清除数据、销售这些部件。除解决隐私担忧外,与简单地一扔了之相比,这种方式也更环保。HV2ednc

GreenTheOnly表示,已经升级到HW 3. 0 的特斯拉用户,需要修改所有密码;尚未升级到HW 3. 0 的特斯拉用户,建议在升级前重置车载系统。HV2ednc

(责编:Demi Xia)HV2ednc

本文为EDN电子技术设计 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 用碳化硅MOSFET设计一个双向降压-升压转换器 随着电池和超级电容等高效储能设备的大量使用,朝向更好的电流控制发展成为一种趋势。双向DC/DC转换器可以保持电池健康,并延长其使用寿命。
  • 被动元器件价格敏感期,采购/工程师如何做选型替代? 众所周知,工程师参与元器件采购和选型的重要性不言而喻。在评估元器件时,不同的工程师和采购人员考虑的角度各不相同,部分人可能更关心器件的公差,而部分人可能更关心成本,但不容置疑的是,所有的工程师和采购都需要安全和低风险的元器件。
  • 运用可扩展多核处理器满足嵌入式应用日益增长的性能需 下一代嵌入式应用需要对大型CPU集群和专用硬件加速器提供可扩展的支持,以实现所需的性能。大型多核处理器需要新的架构方法来提供更高的性能,并且不会给嵌入式设计者带来其他实现和时序收敛问题。
  • (华为)激光雷达参数详解 新势力造车在近两年得到飞速发展,国内的蔚来、理想、小鹏等都在资本市场上融到了大量的资金,早期的新势力汽车是从新能源电动车入手,因为自动驾驶门槛较高,但是随着技术的发展和客户潮流的需要,自动驾驶不得不提上日程,尽管特斯拉的马斯克对激光雷达不屑一顾,但是还是有除特斯拉以外的大部分厂商都在使用激光雷达,而且是作为主要的传感器。因此,激光雷达是自动驾驶中绕不过去的坎,本文对激光雷达的参数进行详细解读。
  • 简化汽车车身电机控制器设计,快速实现轻量化 无论是调整座椅至最佳位置还是能够轻松打开行李箱,车身电子设备系统都可使用电机来提高驾乘人员的舒适性和便利性。MOSFET是控制这些应用的电动装置。但将MOSFET用作开关给电子控制模块设计(包括电磁干扰(EMI)和热管理、电流感应、断电制动以及诊断与保护)带来了新的技术性挑战。
  • 骁龙888首发手机,“准真机”——小米11曝光? 前段时间,EDN集中报道了高通第三代5G芯片《骁龙888最全面详解...》,以及《搭载骁龙888的手机有哪些?首发旗舰清单及跑分曝光!》,不过,坊间传言的真机一直是海市蜃楼,今日,我们就为您介绍骁龙888真的的“准真机”:小米11。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了