图源:东方IC
30秒快读
特斯拉的“画风”急速转变!抛开汽车失控、刹车失灵等涉嫌汽车质量问题不谈,近几日,特斯拉相关话题转向了黑客入侵、车内摄像头监控车主、特斯拉CEO马斯克承诺绝不向美国提供中国客户数据等,一切都指向数据安全。
当一双“眼睛”看着你开车的时候,车主隐私有保障吗?据《IT时报》记者了解,目前,国内大多数智能网联汽车如蔚来、小鹏、威马等部分车型,都装有摄像头,主要作用是监测疲劳驾驶。
微软雅黑;">来源:IT时报
作者:潘少颖
01
车内该有摄像头吗?
近日,马斯克在推特发文称,将收回一些车主FSD beta版的试用权限,原因是这些车主在使用FSD beta功能时,没有对道路情况给予足够的关注。
图源:推特(机器翻译)
特斯拉是如何知道车主不关注路况的呢?用户询问马斯克,特斯拉车内摄像头是否可以监测车主目光?对此,马斯克回答“Yes”,这也可以看作是特斯拉首次承认通过车内摄像头来监视驾驶员。
马斯克的回复一出,“马斯克承认用车内摄像头监控车主”立马被送上微博热搜。“有摄像头不可怕,可怕的是数据上云。”“万一在车里换衣服怎么办?”3月19日,特斯拉表示,所有中国市场上的特斯拉用户车辆均未开启车内摄像头。
不过,大多数特斯拉车主并不清楚摄像头是开是关,在一个特斯拉微信群里,不少车主表示,特斯拉车内后视镜上有一个摄像头,“摄像头默认没开启,以防万一,可以买个镜头盖遮住摄像头。”一位车主为《IT时报》记者支招。
图源:unsplash
《IT时报》记者从上海一位特斯拉销售人员处了解到,目前车内摄像头处于未激活状态,“日后可能会启用,比如当把车租给别人时,可以通过摄像头了解车的情况。”
不过,也有特斯拉车主表示,一走神车子就会报警,似乎是被监控,但从安全角度看,他认为,提醒是有必要的。
车内装摄像头的并不只是特斯拉,据《IT时报》记者了解,蔚来、小鹏、威马等一批造车新势力的部分车型上都有摄像头,目的是为了监测车主是否疲劳驾驶。“如果司机被监测到不断打哈欠、连续闭眼等疲劳驾驶的动作,摄像头会发出提醒。”小鹏汽车客服人员表示。
如果摄像头一直“盯着”司机甚至整个车内,隐私何在?小鹏、威马和蔚来的客服人员表示,摄像头主要监控司机的眼神、表情,不会监控除司机以外的地方,而且摄像头不会记录存储数据,后台和车主本人都无法看到相关的录像。
不上传到后台或云端能分析数据吗?极棒安全实验室安全专家吕礼胜告诉《IT时报》记者,从技术上看,一些简单的指令,数据不需要上传云端,汽车也可以直接识别做出反馈,像疲劳驾驶动作如果上传到云端再分析就会产生时延。但问题的关键在于,要让车主知情,车主有选择的权力。
小鹏客服人员告诉《IT时报》记者,G3的摄像头可以关闭,P7至尊超长续航版目前还不知道是否可以关闭。记者向威马客服咨询EX6六座版,该客服表示无法关闭摄像头。
小鹏G3内饰图源:小鹏汽车
一边是驾驶安全,一边是车主隐私,如何平衡?车企是否“讲武德”?
3月20日~22日举行的“中国发展高层论坛2021”上,在线参加会议的马斯克称,特斯拉在美国或中国的公司不会收集敏感或私人数据,然后与美国政府分享,并保证中国客户的数据得到充分保护。
对此,有业内人士向《IT时报》记者表示,马斯克的回答说明其已具备收集数据的能力,但如果美国政府强制要求特斯拉提供数据,特斯拉会怎么做?
2020年1月苹果公布的半年度“透明度报告”显示,2019年,各国政府对设备请求数量共达31778次。设备数据主要包含用户和设备的关联、设备购买、客户服务和维修等信息。在账户请求方面,涉及iCloud和iTunes账户的详细信息,其中大部分请求来自美国。此外,苹果公司还公布了美国根据《外国情报监视法》(FISA)提出的与国家安全有关的请求。
苹果公司表示,当政府或私人机构在请求获取苹果的用户信息和数据时,需遵循相应的法律法规,服务提供商也应遵守相同的标准。
02
数据被采集后却陷入风险
在智能汽车采集的数据中,包含用户隐私信息、车辆安全关键信息,甚至还包含涉及国家安全的地理位置敏感信息,一辆智能汽车产生的数据可以远远超过1000GB。在业内人士看来,数据只有流动、交互起来,才能展现价值。
图源:unsplash
“现在大多数汽车都有App,最简单的例子是很多车主会按时收到保养提醒,如果没有数据交互,就无法实现后续的主动提醒服务。”北京娜迦信息科技发展有限公司副总经理李瑞芝告诉《IT时报》记者。
然而,风险往往发生在车企采集到数据之后。
有媒体报道称,曾有工程师购买了一辆某品牌在华合资生产的SUV,车辆交付后,他下载了两个软件,其中一个是控制车辆的软件,他通过代码分析发现,这款App可以随时与车辆连通获取油门、刹车踏板开合度等数据,并将这些数据实时传送至海外服务器。
李瑞芝分析说,主要原因是该车控App没有做逆向安全防御、通讯加密、数据加密,以至于用户很简单便分析出了数据,“如果做了这些加密步骤,至少代码、驾驶数据等一些敏感信息,车主一般是抓取不到的”。
拒用生物信息的全国政协委员、众人科技创始人谈剑峰向《IT时报》记者透露,目前公司在研究数据安全加密,希望能更好地保护智能汽车的数据。“我不会用智能汽车,也没有下载自己车子的App。”
吕礼胜告诉《IT时报》记者,极棒安全实验室曾对若干款汽车App传输数据过程中的安全性进行分析,发现这些App对数据传输的基本保护是有的,包括加密、验证、接收者、由哪个汽车组件发出的数据等,但这并不代表完全没有问题。
“比如上述提到的加固逆向防御也不是万能的,只是增加了分析门槛,还有很多方法可以了解App的运行方式。”在吕礼胜看来,要从整体上(汽车、智能终端、交通设施、云端服务等)考虑安全,将安全作为一个专业服务能力贯穿智能网联汽车整个生命周期。
图源:unsplash
目前,车企数据存储主要有两种方式,一是存在自有服务器上,二是存在第三方云端,“当数据脱离汽车到了车企平台之后,就很难接触到,安全公司也无法主动研究车企对于数据保存方法是否可靠。”吕礼胜说,现在的车企把数据保存在自有服务器上更多,一是考虑到安全,二是车企不想数据共享。
自有服务器安全性如何?目前还无从验证,也没有适用于智能网联汽车数据平台建设的标准出台。
03
数据安全是“硬核”
传统汽车时代,用主动安全和被动安全标准定义汽车的安全性。到智能汽车时代,汽车安全的内涵还应包括网络安全与数据安全。
图源:unsplash
《自动驾驶数据安全白皮书2020》指出,自动驾驶平台层数据安全风险包括云平台安全风险、大数据处理安全风险、隐私泄露安全风险、越权访问风险、系统及软件漏洞风险。其中,隐私泄露风险在平台层尤为严重,在平台层进行存储、处理时,一些关键隐私数据会流转至非信任区域,导致数据所有者失去对这些关键数据的控制,从而产生隐私数据泄露问题。测试、仿真数据的泄露会影响自动驾驶车辆测试、优化进程,地图类数据的泄露会给国家安全带来重大影响。
2020年5月,中国首部《汽车信息安全通用技术要求》国家标准公开征求意见,《征求意见稿》提出,软件系统不应留有后门、应采取主动防御和系统防御等措施、软件系统启动和运行时应验证其完整性、最小化授权原则等要求。
数据是国家的战略资源,对于智能网联汽车而言,一方面数据驱动技术迭代升级,促进产业发展已经成为行业共识;另一方面,数据安全也是支撑行业健康可持续发展的基础。
中国智能网联汽车产业创新联盟副秘书长李乔建议,可以从国家层面建立跨行业、跨企业的平台,有助于统一数据标准,解决跨平台、跨部门、跨设备等数据的采集、存储、标准处理等问题,提高数据利用效率和数据本身价值。
“国家数据平台有助于推动数据共享,打通智能网联汽车、智能交通、智慧城市之间的数据鸿沟,促进汽车与交通、城市建设等的深度融合发展。通过国家平台提供监管需求,加快法律法规建设,加强监管和脱敏处理,保证数据安全和数据有序、合法、安全使用。”李乔告诉《IT时报》记者。