当特斯拉在中国建立数据中心之后,中国地区的用户的数据将会得到进一步的保护,这应该是直接影响。
我们都知道特斯拉有自动驾驶技术,而且特斯拉的自动驾驶技术享誉全球,甚至可以称之为领先全球。在这种情况下,很多用户会因为特斯拉的自动驾驶技术而选择特斯拉的车辆,这也会带来用户本身的信息安全问题。当特斯拉在中国建立数据中心之后,特斯拉会进一步保护中国用户的信息安全,这也会打消中国用户的信息安全的疑虑。
一、这个事情是怎么回事?
关于特斯拉的用户数据安全的问题一直被大家诟病,有些人也不信任特斯拉,认为特斯拉在滥用用户的个人数据。在反复强调数据安全之后,特斯拉的马斯克表示在中国已经建立了数据中心,中国的用户可以放心使用特斯拉的车辆,因为中国用户的数据不会被转移到海外。
二、这会直接保护中国用户的数据安全。
道理其实非常简单,如果特斯拉在中国建立数据中心,中国用户的所有数据都会储存在中国境内,特斯拉也没有能力做出任何转移数据的事情。这其实已经不是特斯拉第1次向大家解释数据安全的问题了,因为现在是互联网社会,大家非常关注自己的信息安全,特斯拉才会三番五次向大家证明用户的数据非常安全。
三、信息社会的用户信息非常重要。
互联网时代会带来信息革新,我们都知道每个人的个人数据可以影响到这个人的日常生活。在大数据不断发展的同时,大家的个人数据保护意识也在不断增强。从某种程度上来讲,特斯拉的数据库都在中国境内,这也会进一步保护特斯拉的用户的信息安全,我相信这样的措施也会在越来越多的互联网企业中出现。
超过200万辆奔驰曝出安全漏洞:智能汽车如何抵御黑客攻击?
看到这个标题,估计大家又觉得,“电动邦又要开始黑特斯拉了”。其实不能这么说,我根本没想黑特斯拉,我只是把特斯拉做的事儿描述一下罢了。
继几个月前APP证书过期没法登陆后,这两天特斯拉的APP又出幺蛾子——“串车”。据车主@可乐willhy描述,9月15日,他打开特斯拉的APP后,发现里面是别人的车,并且自己可以远程控制这台车,比如解锁车门、打开空调、开启车辆限速等。
根据车主描述,他人在重庆,而另一位“受害”特斯拉车主@南岳山大汉则身在衡阳,真的是网络姻缘一线牵,Model 3从一月到现在几万辆卖出去了,就这两位这么有缘。
另外,@南岳山大汉从前一天就在跟特斯拉长沙服务中心反应,自己的APP连不上车子,特斯拉也没给人家解决,直到@可乐willhy在交流群里发出了此次乌龙相关信息后,这位车主才后知后觉地发现,自己的车子原来是跑到别人手机里去了。
自从特斯拉中国学会网上冲浪后,对于这类负面消息监控得非常迅速,加之车主的微博被大量大V转发,很快特斯拉高管和特斯拉客户支持都迅速回应,并在事出当天23:59掐点儿公布调查结果——工作人员在更换车载电脑时输错了车辆识别号,导致串车。
怎么说呢,这就好像充话费给充到别人手机里,汇款汇到别人账户里的感觉……
然而,这种莫名其妙的事竟然还不是第一次,今年8月,一位网友表示自己打开特斯拉APP后,自己的车不见了,反倒显示出五台欧洲的车,并且都能进行远程控制。这才是真正的无延迟跨服交流,跨国代练,steam看了都直呼内行。
当然特斯拉也解决了这件事,不过没有像这次一样,公布详细的原因和调查结果。
同样的事在英国也发生过,这张图是“丢失车辆”的车主的发言,简单翻译过来就是,某天他发现自己的车从APP中消失了(他的车是公司买的)。过了几天后,特斯拉找他要VIN码,他上报后发现,这辆车绑定在另一个人身上,碰巧这个人是他的同事,但两人在相隔300多英里的地方工作,此前从没见过面。
随后他与该同事沟通后发现,同事的APP里有两辆车,并且可以远程控制这两辆车,也能看到定位。
而关于这件事,特斯拉依旧是为车主修复了故障,并未公布出现问题的原因。
总结一下国内外这三次类似,这种情况有可能是由于某一方错误输入VIN码,把原本车主的登录挤下去了,经常把自己的 游戏 号给大腿玩的朋友可能对此体会比较深。
但必须指出的是,仅针对9月这次事故,这属于特拉斯的员工犯2,输错了客户的VIN码。这要是发生在银行柜员身上后果不敢想象。再联想一下上次特斯拉APP无法登陆,居然是因为运维没给api证书续费,还是用户给查出来的。这两次都不是能力问题而是态度问题,可见特斯拉需要好好管教一下员工了。
另外,一个维修工人输错一个VIN码就能搞到车子的控制权属实离谱,这方面还得看国内资本家,因此我建议马斯克找马云取取经,看看万千老板最爱的钉钉是怎么防止这种误操的。
有一次我下班没打卡,但是要赶火车,就委托我同事登一下我的钉钉,帮忙打一下,结果发现钉钉居然TMD带常用设备识别的!着实狠毒。当然不久之后我们公司就换人脸识别打卡了,连在地铁上提前打卡都给你杜绝了。
当然,相信特斯拉吃了这几次亏,肯定会在这方面下功夫。
这件事就像前两天的特斯拉一样,加深了群众对智能 汽车 的恐慌。此前大家担心智能 汽车 无非就是两个方面,一个是信息安全,这年头开个车都要连网,连了网嘛,大家都懂,你基本就是个裸奔状态啦。
另一个是自动驾驶,这玩意也是玄学,就单纯特斯拉一个品牌,撞货车撞雪糕筒的事就不知道多少起了。这两个结合在一起更可怕,一旦我信息泄露,黑客拿到了我车子的控制权,开着不太聪明的车子到处乱撞怎么办?
虽然在我们这些吃瓜群众眼里,特斯拉串车可能就是个一笑而过的故事,但这在当事车主眼里,绝对是让他们毛骨悚然的事故,两位车主纷纷“幻想”了几种可怕的情况,感觉下一秒就要被自己的特斯拉暗杀了。
由于我在这个行业内工作,对智能 汽车 的接受度还是很高的,对新势力们的宽容度也很高。但近年来接连不断的迷惑事故也让我感受到,我们离真正安全、可靠、方便的智能 汽车 还差得很远。希望国内外的厂商能吸取教训,不断优化和提高自己的产品吧,千万别逼得我们这些媒体人都跑去做王铜根啊。
特斯拉车内摄像头拍摄流出,技术发展与用户隐私边界在哪
在车联网领域,也许安全人员已经提前扑灭了数场不为人知的“森林大火”,但终有一天我们也许会面临一次前所未有的汽车安全威胁。但只要全球汽车产业链能够精诚合作,提升对于安全防护的重视程度,那么这场“大火”的发生,就可能被无限期推延。
作者丨周到
▼
丰田“刹车门”、高田“气囊门”……传统汽车因为质量问题造成车辆大规模召回,乃至部分零部件企业破产的情况已经不胜枚举。但随着汽车智能化时代的到来,由车辆软件漏洞而带来的黑客攻击,将成为直接危及社会资产乃至人身安全的新威胁。这尽管在大多数人看来有些危言耸听,但随着一些过去不为人们所知的案例曝出,愈发严峻的现实正在我们面前展开。
2019年11月,360?SKY-GO安全研究团队宣布,他们和梅赛德斯奔驰共同发现并修复了19个安全漏洞。通过这些漏洞,黑客能实现批量远程开启车门、启动引擎等控车操作,影响涉及奔驰已经售出的200多万辆汽车,这也是迄今为止影响范围最广,涉及车辆最多的车联网漏洞挖掘。
360发布的《2019年智能网联汽车信息安全年度报告》
不过,奔驰的安全漏洞曝出并不是孤立。在360公司SKY-GO团队发布的《2019智能网联汽车信息安全年度报告》中首席出行官看到,过去一年的全球汽车出行产业,竟然因为黑客攻击造成了如此惨重的损失。
「数字钥匙存在漏洞,窃贼30秒盗走特斯拉Model?S」
2019年4月,由戴姆勒投资建立的共享出行Car2Go在芝加哥有100辆豪华高端车被盗,被迫停止了在该地区的运营工作。更可怕的是,这其中的一部分车辆还被用作违法犯罪活动。根据相关研究人员披露,CarGo的APP遭到破解是导致这次车辆集体被盗的原因。最终经过一番抓捕,地区检察官对21位嫌疑人提出了指控,但恶劣的影响已经覆水难收。在多重因素的影响下,Car2Go在2019年6月宣布退出中国市场,并逐步缩减了在北美市场的业务。
由此可见,基于智能手机实现的数字车钥匙APP尽管带来了很多便利,但短板也非常明显。据介绍,数字钥匙的安全性不仅依赖于车钥匙上的环境载体安全芯片(SE)和可信执行环境(TEE)系统,其整个业务逻辑上的各个环境都需要紧密配合。比如安全的服务器,以及用加密的传输通道和双向认证的传输协议。而在其中任何一个环节出现漏洞,那么整套流程就会被破解,进而让黑客窃取用户隐私,甚至取得车辆的远程控制权限。
首席出行官认为,对于普通车主来说,选择可靠的网络环境来使用数字车钥匙有助于规避这种风险。例如,不要在公共WIFI上使用APP解锁或控车,最好连接4G运营商的网络。但对于车企来说,防止这类风险最好的办法,莫过于定期梳理安全威胁并进行风险管理。
但由于车企和供应商此前缺乏关注,在2019年欧洲和美国曝出了多次对包括手机APP以及数字钥匙中的攻击。在英国,仅2019年前10个月就有超过14000多次针对数字钥匙的车辆***,平均每38分钟就有一次***发生,而小偷作案时间通常不超过30秒。这其中最知名的一次攻击,便是英国博勒姆伍德地区的一次特斯拉被盗案件。
在中,两个窃贼在30秒钟内,使用中继攻击设备成功盗走了1辆特斯拉Model?S。在过程中,小偷利用一个中继类设备,现在车主房屋周围搜集特斯拉钥匙发送的信息,并进行识别和放大,让Model?S以为钥匙就在车辆附近。在这个过程中,小偷并没有设计破解钥匙和车辆的认证算法机制,只是重放了中继设备集车钥匙发送的信号,并没有篡改信号内容。而中继设备的价格也在日益降低,甚至有黑客在网络上非法销售。
随后,特斯拉更新了车钥匙算法,修复了漏洞。但经过研究人员的分析发现,常见的数字钥匙系统均存在未启用固件读写保护、使用缺乏双向认证机制的通信协议、缺少安全分区等问题。而此次斯拉钥匙的供应商同时也在为多家知名车厂提供方案,显然这也为破解留下了漏洞。
「智能汽车时代,安全漏洞可能成倍增加」
读者们可能都听说过,能否实现全车的在线升级,即“整车OTA”,成为了如今判断一辆车究竟是否为“智能汽车”的标准。车辆从分布式架构,逐步演进为域集中式架构和中央集中式架构。简而言之,车辆变得更像是智能手机,硬件不再像过去那样,只被某一个特定功能所独享。就像是车辆ADAS摄像头,不仅可以用做探测前方车辆以及道路标志线,未来还能够作为感应雨刷的探测器。
尽管这种做法能够提升车辆的智能化水平并降低硬件成本,但共享的硬件将会面临被非法调用、恶意占用等安全威胁。随着关键ECU(微控制器)的功能整合程度进一步提高,代码量的增加会导致漏洞随之增长。例如蔚来ES8在2019年知名的“长安街停车升级”,便是因为该公司未向用户提供终止升级并安全回滚到可用版本的功能所导致的。因此,车主在当时不得不在长安街主路上等待车辆升级完成。而SKY-GO团队的负责人告诉首席出行官,如果这项漏洞被黑客所利用,可能会导致后者使用拒绝服务攻击,让车辆无***常启动。
那么问题就来了,汽车企业如何才能规避安全风险呢?这个问题需要从车辆和系统的开发,监控,运营等方面来解决。
首先,包括车企、供应商在内的汽车产业链上下游公司需要建立安全责任体系,并严格执行安全标准开发产品。其次,车企对黑客的攻击不能只是被动防御,还要对车辆、服务器等攻击面进行动态监控,主动发现攻击行为并及时阻断。只有这样才能够形成安全闭环,在提早发现威胁后,及时发布补丁程序。只有在造成严重影响之前解决问题,车企才能够避免遭受因召回、舆情负面带来的损失。毕竟作为一个事关生命安全的产品,汽车要比手机对安全更加敏感。
最后,车辆信息安全体系的搭建,绝对不只是车企以及供应商的事情。网络安全公司、高校乃至“白帽子”(发现漏洞后主动上报,提供修补线索的正面黑客),都应当成为车企在智能化时代的新盟友。早在2013年,特斯拉就设立了“安全研究名人堂”,用于表彰发现特斯拉产品漏洞的安全团队,360的SKY-GO、腾讯的科恩实验室都曾多次上榜。而在2016年,通用汽车也和致命的白帽黑客平台HackOne合作发布了“漏洞悬赏”。受到此前的教训,奔驰也在今年发起聚焦安全的“漏洞报告奖励”,邀请全球技术人员共同提升车辆的信息安全系数。
本文来源于汽车之家车家号作者,不代表汽车之家的观点立场。
实际上,车内摄像头是基于视觉方案的驾驶员监测系统的组成部件之一,在 汽车 行业内已应用多年。主要用于对驾驶员状态的监测,并在危险时发出预警。近年来,有关部门也在不断细化各项标准及法规等,来保护用户的隐私安全。
国外黑客greentheonly在社交媒体上公布的截图。该为其提取到的特斯拉车内摄像头拍摄画面,画面中人员面貌清晰可见,左上角的数据记录了驾驶员朝右看、使用手机、闭眼、低头等动作的频率。(图源:@greentheonly)
1 车内摄像头拍摄流出,引发争议
近日,特斯拉CEO马斯克在社交平台承认,特斯拉通过车内摄像头,对驾驶员进行监控。随后,有黑客提取了特斯拉摄像头拍摄的,显示摄像头不仅能拍摄到驾驶员,还能拍摄到车内其他座舱。
马斯克近期在中国发展高层论坛2021年会上曾表示,特斯拉不会将收集到的数据用于间谍活动,“希望和大家共创互信的未来。”
特斯拉Model3的说明书中对驾驶室摄像头做了简单说明,明确了摄像头目前尚未激活,但随着软件更新换代,该摄像头将会用于Model3的未来新功能中。关于用户隐私数据的保护,说明书中尚未提及。
特斯拉说明书中对车内摄像头的描述
2 车主:对车内摄像头的接受程度因人而异
特斯拉Model3的车主万维在提车第一天就对摄像头取了遮挡措施。由于说明书中提示未来摄像头可能被激活,他选择了一劳永逸的解决办法。他认为车内是自己的私密空间,“摄像头对着自己肯定是不舒服的”,他不能接受摄像头的存在,也拒绝未来可能出现的需要摄像头实现的功能。
不过,也有车主对于车内摄像头持包容态度。黄东旭是一名ModelS的车主,他认为车内摄像头能给自己带来更加个性化的体验,也能提高行车安全性。他表示,车对自己来说只是一个交通工具,算不上私密空间。作为一家分布式数据库公司的CTO,他理应抱有更加开放的态度,“人工智能的发展需要大量数据输入进行训练,为此稍微牺牲一点隐私是可以接受的。”
3 专家:不能“因噎废食”遏制创新,但法规仍需细化
车内摄像头是基于视觉方案的驾驶员监测系统(Driver Monitor System,DMS)的组成部件之一。监测的主要目的,是当驾驶员出现疲劳、走神、不规范驾驶等行为时,对驾驶员提出预警。
早在2018年8月,交通运输部办公厅就发布过一则关于推广应用智能监控报警技术的通知,要求新进入道路运输市场的两客一危车辆应前装智能监控报警装置。
据不完全统计,目前产品搭载车内摄像头的车企有蔚来、小鹏、威马、长城、比亚迪、宝马等。车内摄像头主要用于检测驾驶员状态,进行安全预警。
清华大学车辆与运载学院创院院长杨殿阁曾通过“电动 汽车 百人会”发表了自己对消费者个人信息安全保障的看法。杨殿阁认为,在技术创新和数据安全关系上,一定不要因噎废食,因为害怕存在数据安全隐患,而遏制创新。近年来相关主管部门已经陆续出台了一系列法规制度,对用户数据安全已经起到了一定的保护作用。不过他坦言,这些法规制度目前还不够细化,有进一步完善的空间。
据悉,去年工信部发布《车联网信息服务:用户个人信息保护要求》,对用户个人信息敏感性进行了分级,并要求在收集、转移和使用用户个人信息时应征得用户同意,对信息取严格的访问控制措施。
今年4月7日,工信部发布《智能网联 汽车 生产企业及产品准入管理指南(试行)》(征求意见稿),其中规定企业应依法收集、使用和保护个人信息,实施数据分级管理,制定重要数据目录,不得泄露涉及国家安全的敏感信息。
(应受访者要求,文中万维为化名)
文/陈嘉瑶
标签: #特斯拉
