白帽駭客發現廢棄的特斯拉車輛中殘留了未加密的影片和資料
據CNBC 報導 ,一項由白帽駭客(White Hat,以改善問題為目標的駭客,多為電腦安全公司的僱員或希望藉此獲得懸賞的人士)進行的實驗發現,廢棄的特斯拉車輛中殘存了大量的未加密資料,包括電話號碼、錄影視訊、位置和導航資料等。這導致只要具有相關技術知識的人,其實都能藉機入侵車上的電腦來獲取各項資料。對於時常需要以藍芽配對手機,內建各項行車紀錄功能的特斯拉來說,內藏豐富的資料似乎不是件令人意外的事。但由於特斯拉並不會在車輛報廢后自動刪除這些資料,這項特色也著實成了一把雙面刃。
一位化名為 GreenTheOnly 的研究人員告訴 CNBC,他為了研究這項狀況,曾設法從報廢的Model X、Model S 和 Model 3 中打撈資料。同時他也與一名叫作 Theo 的白帽駭客合作,在去年底以研究為由購買了一輛幾乎完全毀損的 Model 3。經過實驗,他們發現這些車上至少殘留了來自 17 項不同裝置所記錄的資料,包括車輛配對次數、11 份電話聯絡名單、含有活動細節的日曆,甚至是活動邀請物件的電郵地址。此外,他們也成功找出了該車輛最後前往的 73 個目的地位置及導航資料,甚至是車輛遭遇車禍的錄影視訊。
對此,特斯拉發言人向 CNBC 表示,特斯拉目前已提供了回覆原廠設定的功能,讓客戶們可以選擇刪除個人資料或恢復預設設定。此外,他們也提供了代駕模式(Valet Mode ),可以在他人駕駛自己車輛時提供隱藏個人資料等功能。特斯拉一向致力於尋找車輛功能與客戶需求間的平衡,並會持續做出改進。
然而,擁有上面提到的這些功能,似乎仍無法全面防堵相關情況的發生。一家負責維修特斯拉二手車的汽車拍賣公司先前才承認,他們並沒有在出售車輛前將系統回覆原廠設定。如同研究所示,這代表了車上的資料仍有遭竊的風險。而且若車主們自行對車上的軟體進行修改,也或將會被特斯拉判定為駭客,而面臨無法順利升級最新版本軟體的風險。
負責特斯拉漏洞回報獎勵計劃的 BugCrowd 首席安全官向 CNBC 解釋,該公司之所以不自動刪除車上的資料,是基於車禍這類事件在法庭上往往需要相關的佐證資料。但他也表示,他認為特斯拉將會以為資料加密的方式來解決這方面的疑慮,就像市面上的手機一樣。