漏洞|一个“现代计算机史上最大漏洞”,告诉我们特斯拉中国车主的数据还是存在美国了?( 二 )


那么这几张截图说明了什么呢?
漏洞|一个“现代计算机史上最大漏洞”,告诉我们特斯拉中国车主的数据还是存在美国了?
文章插图
让我们把这个测试简化到大部分人都可以理解的程度。(这其中可能会丧失一些严谨性——比如下面会提到的“打开网页”,其实是对于dns解析的简单化解释——但能够更直观的理解这个操作的过程)。
要做这个测试,首先需要一个dnslog.cn或ceye.io这样的网站。这个网站提供两个功能,一是生成二级域名,也就是网址。二是当你把这个网址发给别人,对方用手机或电脑等设备打开了这个网址,你都能在这个网站上得到反馈,最基本的信息包括了打开时间以及IP地址。
理论上,这个“别人”可以是你隔壁领居,也可以是特斯拉,但是一般来说特斯拉的服务器是没道理点开你发的地址的,除非你能让他不得不点开。而Log4j2的漏洞正是危险在此。当把这个特定的测试语句加进网址,在代码里使用了Log4j2组件的特斯拉软件系统,就会“不由自主”自动打开它,然后这些痕迹会回到发送者这里。
通过这个办法,同样可以测试苹果或者亚马逊以及其他任何网站有没有漏洞。做个比喻:
我面前有3个小孩(即三家不同公司),分别标记为 A、B、C,每人手里有一根火柴,有两根火柴受潮了不能使用,有一根是正常的可以被点燃(可燃即代表有漏洞)。 为了验证谁的火柴是可燃的(即为了验证哪个公司有漏洞),我找了3枚鞭炮,分别标记为a、b、c 。
a给小孩A,b给B,c给C,让他们去点鞭炮。
过了一会,鞭炮响了,凑近一看,残渣碎屑上看出是b鞭炮,那么就证明小朋友B手中的火柴是可燃的(有漏洞的)。
如前所述,在这个漏洞得到广泛重视后,大量这样的放鞭炮行为开始发生。而这个微博所记录的也是一次类似的测试。但这个测试不仅显示特斯拉存在漏洞,真的打开了一个这样的“钓鱼”网址,而且它因此暴露的服务器地址,也揭露了更多信息:
当这名测试者把自己在中国境内登陆特斯拉系统而得到的IP地址,放在whatsmyip(一个IP查询网站)上一搜,IP地址显示的ASN归属地却在美国境内。包括华盛顿、新泽西和爱荷华。
漏洞|一个“现代计算机史上最大漏洞”,告诉我们特斯拉中国车主的数据还是存在美国了?
文章插图
顿时一片哗然。
特斯拉App对于这款智能电动汽车的重要性不言而喻。
特斯拉车主很多时候就是在依靠移动端App管理自己的用车。去年5月,国内曾有多位车主表示由于特斯拉App出现大面积宕机,导致手机无法关联上车辆,进而导致手机钥匙失效,车辆信息无法获取,车内的中控屏和仪表盘因此无法激活的状态。
包括行驶和购买行为在内,中国特斯拉车主的个人信息几乎都被录入在移动端的App上。在今年10月升级了哨兵模式后,手机端已经可以实时查看汽车摄像头内容。特斯拉当时对此的声明是,实时摄像头将会是端对端加密的,特斯拉无法访问。
集成了包括实时车内内容在内的移动端App无疑是一个越发敏感的零件。大量中国车主的敏感信息积累在移动端App中。而现在,这些截图显示,App所连接的服务器却指向了美国。
不过,就在这个微博下面,许多不同的解读也在出现。这个信息能说明的数据安全的严重性并没有达到“共识”。尤其作为聪明人聚集的经常针锋相对的计算机安全领域,对于这个结论,不同人给出不同的理解。
有人称,这只是一种常规操作。“不一定是传输数据,可能是调了某个接口。”有人评论。
一位数据安全人士举了个更通俗的例子:
“比如,腾讯要统计全球有多少QQ用户同时在线,这时候,也会统计到美国用户的对吗?但这时候从美国传到中国的,其实只是个统计的在线人数,不涉及用户个人信息。此时你说中国的腾讯公司是在收集美国数据吗,你说是也行,说不是也没错。”