DeepTech深科技特斯拉车主的隐私漏洞却无解?,马斯克卖房保隐私( 二 )
后来打电话问中国区客服 , 客服说车载电脑坏了是可以换的 , 但对于替换后 , 是否会出现信息泄露 , 她表示在线上回答不了 。
DeepTech转而去特斯拉天猫官方旗舰店问客服 , 结果客服推说去问门店 。
文章图片
你看 , 整成死循环了 。
在官方渠道问询无果后 , DeepTech尝试进一步探索造成特斯拉数据泄露的原因 。
此前有自媒体分析 , 数据之所以泄露 , 很有可能是特斯拉未对车载电脑系统 , 进行数据加密 。 针对这个推测 , DeepTech采访到360智能网联汽车安全实验室SkyGo团队 , 发现数据泄露的原因 , 并非是简单的“没有加密” 。
据360SkyGo团队安全研究负责人严敏睿介绍 , 从技术角度 , 不能说厂商对系统硬盘进行了数据加密就是安全的 , 因为退役的零部件 , 本身就不应该还保留着用户数据;其次 , 数据加密解密的实现方法是否正确 , 也将影响到用户信息的安全 。
在此次事件中 , 特斯拉中控主机可以脱离整车正常运行 , 如果厂商对存储芯片应用了加密手段 , 在正常运行过程中 , 就会对数据解密 , 攻击者还是可以通过正常使用中控主机的交互功能 , 看到用户隐私数据 。 而这也表明数据加密 , 并非此次事件的根本原因 。
其根本原因存在于信息安全管理体系中 , 退役流程和信息安全功能设计中存在问题 , 1、为何退役的设备中还保留着用户数据?2、为何单个零部件可以在脱离整车的情况下独立正常使用?
从信息安全管理的角度看 , 首先 , 针对用户的退役设备 , 应将用户数据进行销毁;其次 , 信息安全功能设计的时候 , 在非车厂维修场景下 , 应当不允许零部件在脱离整车的情况下独立使用 , 应当具备防盗功能 。 因此 , 这次事件由上述两个原因导致 , 其根本是缺乏完善的信息安全管理机制 。
那么 , 作为普通用户 , 该怎么办?
严敏睿建议:“从用户角度而言 , 作为非专业使用者 , 无法在购买产品之前 , 发现或者排除产品的信息泄漏风险 , 只能通过试用或者咨询的方式 , 了解该产品是否提供让用户抹除数据的功能 。
但从技术角度而言 , 即使提供该功能 , 也无法100%肯定数据完全被抹除 。 所以用户可以在卖车、或者更换零部件时 , 应主动删除个人相关信息 , 同时主动要求4S店和厂商删除该零部件上的个人相关数据 。 如果信息发生泄漏 , 可以依法维权 , 中国《网络安全法》和欧盟《通用数据保护条例》(GDPR)和美国《加州消费者隐私法案》(CCPA) , 都对个人信息保护有所规定;同时中国国家标准《个人信息安全规范》中规定 , 个人信息主体注销账户后 , 应及时删除其个人信息或匿名化处理 , 这是对《网络安全法》中对个人信息保护相关条款的细化与补充 。 ”
智能汽车安全漏洞频发
据360智能网联汽车安全实验室的《2019智能网联汽车信息安全年度报告》显示 , 2019年 , 特斯拉汽车销量 , 位居全球的纯电动汽车销量榜第一 , 市场份额高达23% 。
文章图片
图|2019纯电动车销量榜(来源:2019智能网联汽车信息安全年度报告》)
2019年 , 特斯拉也出现过小偷使用中继攻击(RelayAttack)技术 , 仅用不到三十秒 , 就在没有钥匙情况下、偷窃特斯拉ModelS的案例 。
文章图片
图|小偷用“技术手段”偷窃特斯拉(来源:《2019智能网联汽车信息安全年度报告》)
同年 , 腾讯科恩实验室通过编号为CVE-2018-16806的无线芯片固件与无线芯片 , 驱动两个漏洞、并使用基于堆的缓冲器溢出攻击 , 实现了在特斯拉ModelS/X系列汽车的Parrot模块Linux系统中 , 执行任意命令的攻击 。
推荐阅读
- 科技一哥|荣耀30青春版图集赏析:触觉与视觉的完美享受
- 科技犬君|vs 索尼A9G 谁强?,上半年用户喜爱手机盘点;小米电视大师65英寸OLED
- 精选泛科技|结果如何?,一加8续航遭质疑:上半年最全机型横评出炉
- HAO懂科技|小米“神机”要来了?,小米正式“反击”!上下对折+骁龙865
- 阿拉图图科技说|而给华为仅仅是800万枚!,台积电为苹果准备8000万枚芯片
- 网罗说科技|三星note10一夜成“中端机”,还是256GB+3500mAh,三星扛不住了
- 科技数码迷|华为+荣耀别不报!入门级机型你们真没有Redmi良心
- 「小米科技」小米11Pro宣布新技术!首发骁龙875+屏下镜头,米粉:价格有点小贵
- 小熊科技|你会考虑吗?,三星顶级旗舰清仓!5G网络+45W快充+2k屏幕
- 简简科技|联想:国内同步上市,支持5G,界读丨摩托罗拉折叠手机Razr2曝光