财报|一个“现代计算机史上最大漏洞”,告诉我们特斯拉中国车主的数据还是存在美国了?( 二 )


12月13日 , 一名互联网安全人士在微博上公布了几张截图 。 并配上文字:
特斯拉还是把数据传回美国了嘛 。
根据这些截图 , 这名发布者对这个漏洞在特斯拉移动端App上进行了测试 , 而特斯拉服务器的IP地址很快被暴露出来 , 拿着这些IP地址一查 , 结果显示这些服务器归属美国 。
“所有中国业务所产生的所有数据完全存储在中国境内”——特斯拉CEO伊隆· 马斯克今年9月曾经言之凿凿 , 但似乎被这个漏洞掀起的一角将了一军 。
那么这几张截图说明了什么呢?
让我们把这个测试简化到大部分人都可以理解的程度 。 (这其中可能会丧失一些严谨性——比如下面会提到的“打开网页” , 其实是对于dns解析的简单化解释——但能够更直观的理解这个操作的过程) 。
要做这个测试 , 首先需要一个dnslog.cn或ceye.io这样的网站 。 这个网站提供两个功能 , 一是生成二级域名 , 也就是网址 。 二是当你把这个网址发给别人 , 对方用手机或电脑等设备打开了这个网址 , 你都能在这个网站上得到反馈 , 最基本的信息包括了打开时间以及IP地址 。
理论上 , 这个“别人”可以是你隔壁领居 , 也可以是特斯拉 , 但是一般来说特斯拉的服务器是没道理点开你发的地址的 , 除非你能让他不得不点开 。 而Log4j2的漏洞正是危险在此 。 当把这个特定的测试语句加进网址 , 在代码里使用了Log4j2组件的特斯拉软件系统 , 就会“不由自主”自动打开它 , 然后这些痕迹会回到发送者这里 。
通过这个办法 , 同样可以测试苹果或者亚马逊以及其他任何网站有没有漏洞 。 做个比喻:
我面前有3个小孩(即三家不同公司) , 分别标记为 A、B、C , 每人手里有一根火柴 , 有两根火柴受潮了不能使用 , 有一根是正常的可以被点燃(可燃即代表有漏洞) 。为了验证谁的火柴是可燃的(即为了验证哪个公司有漏洞) , 我找了3枚鞭炮 , 分别标记为a、b、c。
a给小孩A , b给B , c给C , 让他们去点鞭炮 。
过了一会 , 鞭炮响了 , 凑近一看 , 残渣碎屑上看出是b鞭炮 , 那么就证明小朋友B手中的火柴是可燃的(有漏洞的) 。
如前所述 , 在这个漏洞得到广泛重视后 , 大量这样的放鞭炮行为开始发生 。 而这个微博所记录的也是一次类似的测试 。 但这个测试不仅显示特斯拉存在漏洞 , 真的打开了一个这样的“钓鱼”网址 , 而且它因此暴露的服务器地址 , 也揭露了更多信息:
当这名测试者把自己在中国境内登陆特斯拉系统而得到的IP地址 , 放在whatsmyip(一个IP查询网站)上一搜 , IP地址显示的ASN归属地却在美国境内 。 包括华盛顿、新泽西和爱荷华 。
顿时一片哗然 。
特斯拉App对于这款智能电动汽车的重要性不言而喻 。
特斯拉车主很多时候就是在依靠移动端App管理自己的用车 。 去年5月 , 国内曾有多位车主表示由于特斯拉App出现大面积宕机 , 导致手机无法关联上车辆 , 进而导致手机钥匙失效 , 车辆信息无法获取 , 车内的中控屏和仪表盘因此无法激活的状态 。
包括行驶和购买行为在内 , 中国特斯拉车主的个人信息几乎都被录入在移动端的App上 。 在今年10月升级了哨兵模式后 , 手机端已经可以实时查看汽车摄像头内容 。 特斯拉当时对此的声明是 , 实时摄像头将会是端对端加密的 , 特斯拉无法访问 。
集成了包括实时车内内容在内的移动端App无疑是一个越发敏感的零件 。 大量中国车主的敏感信息积累在移动端App中 。 而现在 , 这些截图显示 , App所连接的服务器却指向了美国 。