原创|枕头 编辑|Cong
汽车越来越智能,有些问题也到了该面对的时刻。
【资料图】
7月31日,美国加州隐私保护局称,将审计“联网汽车”的汽车制造商数据隐私实践,以了解该行业是否尊重消费者权利。
无独有偶,在今年5月份,荷兰数据保护监管机构表示,某知名品牌汽车可能存在数据保护违规行为,并将展开相关调查。
似乎,各国监管机构对于智能化汽车的隐私问题,越发重视。而在中国,全国人大代表、长安汽车董事长朱华荣也曾在2022年提出智能联网汽车发展应关注数据安全与隐私保护的建议。
现阶段,有人把智能汽车比喻成装了4个轮子的计算机,然而智能汽车对于个人数据的实际影响,可能要远远超乎所有人的想象。
01
可怕的隐私泄露事件
2019年,澳大利亚ABC新闻报道了这样一个事件。一名男子故意下载并设置在线应用,让他能够控制前女友的汽车,包括车辆的启动和熄火,并允许他跟踪前女友的行踪。据称,他曾经帮助前女友购买了一辆L牌汽车,从而获得了该车的车辆识别码,这令他可以远程掌控汽车。
通过应用程序,前女友活动的实时信息在不知情的情况下被发送到这个男子的邮箱中,甚至,男子还购买间谍软件监控前女友手机的位置。直到有一天,该男子深夜出现在了前女友的床边...
而来自路透社的消息则更令人惊恐。
9名前T车厂员工透露,在2019年至2022年期间,一群员工通过内部消息系统,私下分享由客户汽车摄像头记录下的,具有“高度侵入性”的视频和图像。此外,他们还会分享一些类似车主不小心摔倒的尴尬瞬间。甚至,有员工通过汽车摄像头看到了自己老板车库里停放的潜水器。
该公司曾负责信息标注的前员工说,自己通过汽车摄像头记录下的数据,可以看到车主洗衣服,做一些非常亲密的事。也有员工表示,自己通过视频看到过该品牌车主的衣服、某些两性物品以及生活场景,甚至有员工看到别人被疑似违背意愿的拖进车里...
今年5月,媒体披露,日本F牌汽车数据泄露,215万车主数据“裸奔”,时间线长达十年。调查结果显示,可能被泄露的用户信息包括车载终端ID、车架号、车辆位置信息等。
该车企解释称,该问题是由于云平台系统设置错误,导致数据被公开。同样是这个品牌,早在去年10月,就有一批使用其系统服务的约29.6万名客户的个人信息可能被泄露,包括电子邮箱地址和客户编号等。
在国内,去年底,有黑客破解了W品牌大量数据,并勒索225万美元。黑客声称,获得的数据包括W公司内部的重要信息,还有大量车主的身份、地址、亲密关系、贷款数据等敏感内容。黑客在两度勒索未成的前提下,公然挑衅称,将向社会出售相关数据。而据网友称,被黑客勒索过的车企并非只有这一家。
可以说,汽车隐私数据泄露的问题,只要稍加关注就会倍感震惊。而这,还只是被动泄露。
02
车企主动收集的数据量惊人
美国《连线》杂志曾有过一个调查。他们利用Privacy4Cars的隐私工具调查了美国最受欢迎的10款汽车,寻求了解它们可以收集多少信息。结果显示,汽车每小时可以产生25G数据,包括司机姓名、地址、联系方式、电子邮件和驾照信息等。
《连线》杂志指出,车载人机智能系统,会收集非常多数据,并和汽车厂家进行分享。某些情况下,这些信息甚至还会与第三方共享。除了基本信息之外,有些车型还会收集驾驶员的面部特征,但相关厂商回应称,这些信息只会储存在车内,不会进行网络上传。
另外,有关于驾驶行为的信息也有可能会被收集,例如驾驶速度、如何踩踏板、安全带相关数据,行驶方向,精确位置,当地天气等。甚至,某些车辆中的语音识别系统,可以在聆听你的语音命令后将其进行收集,它的“媒体分析”能捕获有关您在车内收听的内容信息。
这意味着,你的车可以全方位掌控你的信息,从视觉画面、声音内容到个人数据,甚至是驾驶习惯。
而上述部分车型在国内也非常常见,只不过因为政策原因,其隐私收集的限度可能和美国有所区别。
在中国,智能化汽车正在加速走进千家万户,电动智能汽车的市场渗透率稳居全球前三,单个市场规模可占全球的6成。可以说,未来,中国市场联网汽车的用户隐私保护可能会成为非常突出的问题。
此外,在国内汽车交易过程中,个人数据泄露的问题也十分令人触目惊心。根据《经济观察报》的一项调查显示,有41.8%的车主遭遇了“购车或办理汽车金融业务后收到关联推销信息、电话”的烦恼,有22%车主个人信息被导购平台泄露,另有17.3%的车主“在未被告知的情况下被人脸识别,个人信息被录入4S店或直营店系统”。
结合部分国内互联网企业在隐私方面非常糟糕的历史记录,这一风险亟需得到所有人的重视。相应的,在今年7月,两部门召开加强新能源汽车安全管理工作会议,在官方通稿中特意提出,“新能源汽车安全的内涵和外延都在不断变化和拓展”。
03
智能汽车摄像头的能力
不同于众多传感器看不见摸不着的数据,在涉及到汽车用户隐私方面,车内外越来越多的摄像头是困扰大众的显性问题。
2021年,国外T牌汽车高层曾表示会回收一部分车主的 FSD Beta 试用权限,原因是他们在开启 FSD Beta 期间未尽到观察路况的义务。而这一表态引发了公众对于车内摄像头监控驾驶员行为的质疑,其后,T牌回应称,车内摄像头只会监控拥有 FSD beta 试用权限的车主,监控画面并未与车辆识别号配对。
在国内,2022年,G牌汽车被曝可以一键开启“偷看模式”。某汽车博主称,该车行车记录仪可通过“车车互联”功能,接收其他车主的车辆信号,读取其行车记录仪内容。甚至有知名汽车媒体曝光称,有人通过该功能巡视全国各地该品牌销售小姐姐。
时至今日,汽车内外摄像头的清晰度非常高,其所带来的隐私威胁也成倍增加。有人将汽车内部摄像头比喻成“手机前置摄像头”,但事实可能更加严重。汽车本身属于临界空间,车内具有高度私密性、车外具有高度公共性,因此,汽车摄像头的迷惑性,远高于手机。
有黑客大神提取了T牌汽车的摄像头拍摄的视频,画面显示,视频清晰度远超预期
想象一下,在你所不注意的角落,任何一辆车的摄像头都有可能正在拍摄你室外活动的样子。虽然绝大多数人都不会通过这个摄像头对你怎么样,但如果,有特定的某个人利用这些画面对你产生不利影响,你该如何处置?
浙江大学科技与法律研究中心研究员郭喨曾经撰文,分享自己被同事车载摄像头拍到的经历。他走在杭州市迪臣南路上,同事车辆的摄像头正好拍下了这一幕。再次见面,同事便打趣地问他,“上周五你心情很好嘛,什么好事跟我分享分享”。
很多新能源品牌汽车都推出了争议极大的“哨兵模式”。此前,国内L牌汽车的领头人曾经对此功能表示过不认同,但迫于用户压力最终还是加装了该功能,他表示,这是将原本保险就能解决的问题复杂化。
“哨兵模式”一方面会增加汽车电力的消耗,另一方面会带来有关隐私侵犯的困扰。虽然很多车企在“哨兵模式”上增加了诸多触发的限制条件,但这并没有显著减少路人的担忧。
“哨兵模式”由T品牌捧红,后来逐渐被越来越多的车主所追捧。早前,荷兰官方曾对T品牌的“哨兵模式”进行过调查,最终以T品牌调整哨兵模式的实施状态(车辆将会闪烁前灯,提醒周边人群已开启拍摄)而告终。
据称,“哨兵模式”也有过不少“立功表现”,其曾成功为警方提供过抓捕嫌犯的关键证据。
在隐私和安全间寻找平衡,或许将是一个长久的博弈。
04
汽车智能化的负面影响
除了正常使用权限所造成的隐私侵犯外,汽车遭遇黑客的概率也正在大幅上升,黑客们对于摄像头的热衷有可能在汽车上复现。
原本,汽车并非是黑客的主要攻击目标,毕竟,彼时的Kitt只存在于《霹雳游侠》中。然而,随着汽车自动驾驶技术越来越成熟,汽车智能座舱越来越先进,汽车联网越来越高效,黑客迎来了自己的狂欢时刻。
有汽车电子工程师撰文介绍称,原本的车机系统,使用的是CAN总线网络结构,车内的ECU包含独立处理器,这些ECU在工作时各自完成使命,然后通过CAN总线交换数据和控制命令。车内驾驶相关ECU与车身控制相关ECU分开,并通过网关转发控制报文。这一套封闭独立的网络架构相对可靠。
然而,如今的智能化汽车对于网络和自动控制的权限越来越高,这不可避免的打破了原本相互独立且相对封闭的系统。此外,越来越强悍的汽车芯片正将汽车带向电脑的老路,而这对于黑客来说简直是驾轻就熟。
UPstream Security的一份报告显示,仅在2019年,与汽车相关的网络事件就比前一年翻了一番,比2016年增加了605%。这些事件包括劫车、盗取数据泄露,甚至控制移动的车辆。而到了2022年,随着智能移动生态系统的不断发展,网络攻击的频率和复杂性都在显著增加。
(图片来源于UPstream Security)
UPstream的AutoThreat®研究人员分析了2022年的268起汽车和智能移动网络安全事件,发现其中有63%是由黑帽黑客发起的。尽管OEM采用了更为先进的IT网络安全保护,但汽车API攻击的数量仍然增加了380%。此外,随着电动汽车数量的不断增加,电动汽车充电站也越来越成为攻击的战场。
黑客所带来的影响,还远不止是盗用信息这么简单。有美国研究人员(纽约大学计算机科学研究员)对《纽约时报》表示,其最担心的是,如果发生网络强国间的冲突,有可能会有黑客专门对智慧型汽车实施攻击。例如驾驶员驾驶汽车时,黑客可以向刹车发送消息,关闭动力转向,把人锁在车里,做任何黑客想做的事...
在黑客攻击之外,汽车系统“越狱”也正在加剧信息泄露的风险。
目前,很多汽车品牌采用了预先安装,付费后解锁功能的营利模式。然而该模式所产生的反感情绪正加剧车主们对于汽车系统的“越狱”冲动。
同样是T牌汽车,柏林工业大学的研究人员们设法“越狱”了一辆汽车,并发现通过“越狱”可以免费解锁后排座椅加热甚至是FSD功能。据称,他们是利用该车的信息娱乐系统硬件漏洞进行的“越狱”(T牌汽车拥有强大的信息娱乐系统,部分车型的相关系统娱乐能力甚至媲美游戏主机)。
此外,通过“越狱”,研究人员还可以访问和解密存储在汽车系统中的敏感信息,如车主的个人数据、电话簿、日历条目、通话记录、Spotify 和 Gmail 会话 cookies、WiFi 密码以及出行记录。
而在国内,有关车机系统破解和“越狱”的信息也早已屡见不鲜。国内网民对于手机越狱的热情平滑过渡到了汽车系统之上,但相应的安全风险也变的更为巨大。
05
面对汽车安全新挑战,我们该怎么办
根据相关机构预测,目前全球市场搭载智能联网功能的新车渗透率约为45%,预计至2025年可达到接近60%的市场规模。另有数据显示,目前智能联网汽车遭受到远程攻击的数量远超物理攻击,基本达到80%以上。实施与之相关的安全措施已经刻不容缓。
实际上,早在2021年,网信办、发改委、工信部、公安部、交通运输部等5部门就已经推出了《汽车数据安全管理若干规定(试行)》。也因为相关规定,多款国内市场在售的智慧型汽车已经逐步关闭或升级了远程监控、远程控制等功能。
然而,我们不得不面对的一个事实是,过多的限定措施势必会影响科技和汽车行业的创新以及发展,但反过来,新技术的应用又往往会脱离现有管理能力的掌控。这是一个长久的、互相博弈的过程,任何一方占据绝对的上峰都不利于产业的发展。
对于个人而言,可能大多数人并没有意识到隐私遭受侵犯所带来的危害。
经过长达十几年“免费盗版”、“破解版”、“刷机”等互联网软件黑灰产的熏陶,国人对于数据信息泄露的容忍程度显著更高。同样的,习惯了无处不在的摄像头的普罗大众似乎对于自己被拍摄也毫无感觉。
但就像是某种武器,想保护你的人掌控着它们会提供给你无限的安全感。而这些武器流落在想要加害你的人的手中,则是一场灾难。
而对于交通工具而言,任何一个“疏忽”,都可能带来以生命为代价的严重后果。