以前瞻技术声名远播的特斯拉电动车,竟然很容易被传统黑客技术破解。上周在新加坡举行的亚洲「黑帽」安全大会上,企业网络安全顾问尼特施·丹贾尼指出,特斯拉的安全系统存在多个设计缺陷,Model S 轿车的六位密码可以被轻易破解,即使没有遥控钥匙,黑客也能通过无线网络发出的指令对其进行解锁,然后进入该车系统窃取内容。
这位专家指出,有证据显示,特斯拉服务支持部门的员工可以对 Model S 进行远程解锁,多数特斯拉用户对此并不知晓。恰恰是因为特斯拉掌控了这种支配用户车辆的特权,用户才很容易受到攻击,一旦出现问题,特斯拉员工也有可能成为嫌疑人。
在高端黑客眼中,黑帽大会与「城乡结合部」无异,因为破解特斯拉密码连玩家级水平都不需要。问题在于,特斯拉并没有告知用户,他们可以远程解锁用户的车辆,人们可能会在不知不觉中遭到隐私侵犯,甚至会出现更严重的安全问题。
米其林集团高级副总裁欧立伟告诉记者,在互联网上,已经有一些个人数据在销售,人们的隐私已经成为一些组织盈利的工具。「无论是用户的行为信息,还是其使用车辆的数据,这些内容一旦披露,对个人自由和尊严都会带来潜在的影响。」
欧立伟说,法国政府已经在「计算机科学与个人信息自由」这一领域做了立法。对于政府来说,一方面要保护个人数据,另一方面也要有效应用数据。「比如说,当你的车辆行驶在路上发生了交通事故,你肯定希望这辆车能自动和救援中心取得联系,让救援的车辆尽快到达。负面因素是,你被定位了,你的个人信息也很容易披露出去。」
事实上,在特斯拉遭到质疑之前,已经有车企因恶意收集用户数据,受到了舆论的谴责。2011 年,通用汽车更改了安吉星的条款,称自己有权在消费者终止订购安吉星服务后,继续收集数据。令人惊讶的是,该霸王条款还表示,无论订购期间还是订购终止,通用都可以与其他公司共享汽车的使用信息。
通用万万没想到的是,此事惊动了美国联邦贸易委员会,甚至要对其进行立案调查。最终,通用不得不放弃了这一策略。
在欧立伟看来,信息共享是有限度的,用户必须有知情权。在车联网和大数据时代,个人隐私和行车安全将如何权衡,是一个严峻的问题。这个问题应该在国际范围内形成广泛讨论,每个国家都应出台相应的政策,用法律来限制企业窃取用户隐私的行为。
在去年召开的拉斯韦加斯黑客大会上,美国两位网络安全人员公布了一款汽车攻击软件,并在丰田普锐斯和福特翼虎上进行了展示。这项技术可以远程操控汽车,可以控制普锐斯的方向盘,让其自动加速或突然刹车;可以让翼虎在慢速行驶时刹车失灵,不管司机如何踩刹车,汽车都会继续前进。
阴谋论者认为,这项由美国政府支持的黑客研究,打着在不法分子之前找到系统漏洞的旗号,但并没有将这一远程无线攻击方式公开,人们甚至不知道如何规避这种风险。那么,这项研究就很有可能是为政府服务的。
联想到美国在海外网络监听和信息监控上劣迹斑斑,人们很难相信,在车联网和大数据时代,车载智能系统基本由美国公司掌控的现实下,还有什么安全性可言。
Model S 上还有没有后门,特斯拉掌门人马斯克应该出来澄清了。几乎所有的汽车企业在面对公众的时候,都会表示他们尊重法律,尊重公众隐私,并发誓说「信息只供内部使用,不会提供给外界」,但在现实中,又有谁能够切实地监管他们呢?