Đó là những gì họ nói trong bản in về chính sách của họ.
Trên thực tế, họ cũng có thể xác định vị trí và trạng thái của ô tô của bạn bất kỳ lúc nào. Đối với các phương tiện truyền thông, Tesla đã thận trọng về những dữ liệu mà hãng này thu thập theo thời gian thực và cách sử dụng dữ liệu. Giống như Uber, Tesla ở vị thế gần như Chúa trời, cho phép họ biết tất cả mọi thứ về mỗi chiếc xe và vị trí của chiếc xe đó vào bất cứ lúc nào.
Nếu điều đó không cần thiết với bạn, bạn có thể liên hệ với Tesla và chọn không tham gia chương trình viễn thông của hãng. Tuy nhiên, nếu làm như vậy, bạn sẽ bỏ lỡ các bản cập nhật phần mềm tự động, bao gồm các bản sửa lỗi bảo mật và các tính năng mới.
Tất nhiên, cộng đồng an ninh quan tâm đến Tesla, và nhà nghiên cứu bảo mật độc lập Nitesh Dhanjani đã xác định một số vấn đề. Tuy đồng ý với tôi rằng Tesla Model S là một chiếc xe tuyệt vời, song Dhanjani phát hiện ra rằng Tesla sử dụng hệ thống xác thực một yếu tố khá yếu để truy cập vào hệ thống xe từ xa. Trang web và ứng dụng Tesla thiếu khả năng để hạn chế số lần đăng nhập vào tài khoản người dùng, điều đó có nghĩa là kẻ tấn công có thể sử dụng thuật toán vét cạn để bẻ khóa mật khẩu của người dùng. Điều đó có nghĩa là một bên thứ ba có thể (giả sử mật khẩu của bạn bị bẻ khóa) đăng nhập và sử dụng API Tesla để kiểm tra vị trí của chiếc xe của bạn. Người đó cũng có thể đăng nhập từ xa vào ứng dụng Tesla và điều khiển hệ thống của xe, điều hòa không khí, đèn… mặc dù xe đang đứng yên.
Tesla ghi nhận hầu hết các mối quan tâm của Dhanjani tại thời điểm viết cuốn sách này, nhưng tình trạng đó là một ví dụ về việc ngày nay các nhà sản xuất ô tô cần phải làm thêm bao nhiêu việc để bảo mật xe của họ. Chỉ cần cung cấp một ứng dụng để khởi động từ xa và kiểm tra trạng thái của chiếc xe của bạn là chưa đủ. Nó cũng phải được an toàn. Bản cập nhật mới nhất, một tính năng được gọi là Summon, cho phép bạn dùng lời nói để kéo chiếc xe ra khỏi nhà xe hoặc đỗ xe ở một nơi chật hẹp. Trong tương lai, Summon sẽ cho phép chiếc xe đón bạn từ bất kỳ địa điểm nào trên khắp đất nước. Khá giống như trong chương trình truyền hình cũ Knight Rider.
Trong việc bác bỏ một đánh giá tiêu cực trên tờ New York Times, Tesla thừa nhận sức mạnh của dữ liệu họ có trong tay. Phóng viên tờ Times John Broder nói rằng chiếc Tesla Model S của anh đã bị hỏng và khiến anh bị kẹt bên trong. Trong một bài viết trên blog, Tesla đã phản đối và chỉ ra một số điểm mà họ cho rằng họ nghi ngờ đối với câu chuyện của Broder. Ví dụ, Tesla lưu ý rằng Broder lái xe ở các mức tốc độ khác nhau, 100km/h – 130km/h, với một môi trường nhiệt độ cabin bình quân 220C. Theo Forbes, “máy ghi dữ liệu trong Model S biết cài đặt nhiệt độ trong xe, mức pin trong suốt chuyến đi, tốc độ của xe theo từng phút, và tuyến đường chính xác được chọn – cho tới thực tế là người đánh giá xe đã lái xe vòng tròn trong bãi đậu xe khi pin của xe gần như cạn kiệt.”
Khả năng viễn thông là một phần mở rộng hợp lý của các hộp đen bắt buộc trong tất cả các xe được sản xuất để bán tại Mỹ sau năm 2015. Nhưng hộp đen trong xe hơi không hoàn toàn mới mẻ. Chúng có từ những năm 1970, khi túi khí được ra mắt lần đầu tiên. Sau đó, trong các vụ va chạm, người dân đã gặp những thương tích đe dọa tính mạng từ túi khí, và một số người bị chết do sức ép của những chiếc túi va vào cơ thể. Trong một số trường hợp, nếu xe không được trang bị những chiếc túi đó, những người bên trong có thể còn sống sót. Để cải thiện tình trạng trên, các kỹ sư cần dữ liệu về việc sử dụng túi trong những khoảnh khắc trước và sau một vụ tai nạn, được thu thập bởi các mô-đun cảm biến và chẩn đoán của túi khí (SDM). Tuy nhiên, cho đến gần đây các chủ xe không được cho biết rằng các cảm biến trong xe hơi của họ ghi lại dữ liệu về việc lái xe của họ.
Được kích hoạt bởi những thay đổi trọng lực đột ngột, các hộp đen trong xe hơi, giống như các hộp đen trong máy bay, chỉ ghi lại chừng vài giây cuối xung quanh một sự kiện trọng lực, chẳng hạn như gia tốc đột ngột, mô-men xoắn và phanh cứng.
Nhưng rất dễ dàng để hình dung nhiều loại dữ liệu được thu thập trong các hộp đen và truyền theo thời gian thực thông qua các kết nối di động. Hãy tưởng tượng, trong tương lai, dữ liệu được thu thập trong khoảng thời gian ba đến năm ngày có thể được lưu trữ trên xe hoặc trên đám mây. Thay vì cố gắng để mô tả tiếng ồn khi xe của bạn đi 60km/h hoặc nhiều hơn, bạn chỉ cần cung cấp cho cỗ máy của mình quyền truy cập dữ liệu được ghi. Câu hỏi ở đây là ai khác nữa có quyền truy cập vào tất cả dữ liệu này? Ngay cả Tesla cũng thừa nhận rằng dữ liệu thu thập được có thể được các bên thứ ba sử dụng.
Điều gì sẽ xảy ra nếu bên thứ ba là ngân hàng của bạn? Nếu có thỏa thuận với nhà sản xuất ô tô, họ có thể theo dõi khả năng lái xe của bạn và đánh giá điều kiện của bạn cho các khoản vay tự động trong tương lai cho phù hợp. Hoặc công ty bảo hiểm y tế có thể làm như vậy. Hoặc thậm chí là công ty bảo hiểm xe hơi của bạn. Chính phủ liên bang cần xem xét về những người sở hữu dữ liệu từ chiếc xe của bạn và những quyền bạn có để giữ dữ liệu đó là riêng tư.
Hiện nay bạn không thể làm gì nhiều về điều này, nhưng điều này rất đáng để chú ý trong tương lai.
Ngay cả khi bạn không sở hữu Tesla, nhà sản xuất ô tô cũng có thể cung cấp ứng dụng cho phép bạn mở cửa xe, khởi động động cơ hoặc thậm chí kiểm tra chẩn đoán nhất định trên xe của bạn. Một nhà nghiên cứu đã chỉ ra rằng những tín hiệu này – giữa xe, đám mây và ứng dụng – có thể bị tấn công và được sử dụng để theo dõi một chiếc xe mục tiêu, dễ dàng mở khóa, kích hoạt còi và báo động và thậm chí điều khiển động cơ của nó. Tin tặc có thể làm tất cả mọi thứ ngoại trừ gài số xe và lái nó đi. Điều ấy vẫn đòi hỏi chìa khóa của người lái xe. Mặc dù vậy, gần đây tôi đã tìm ra cách tắt khóa fob Tesla để Tesla hoàn toàn nằm bẹp. Bằng cách sử dụng một máy phát nhỏ ở 315 MHz bạn có thể tắt khóa fob để không thể được nhận dạng các khóa bỏ túi, do đó vô hiệu hóa chiếc xe.
Phát biểu tại DEF CON 23, Samy Kamkar, nhà nghiên cứu bảo mật nổi tiếng với việc phát triển sâu Samy trên mạng xã hội Myspace từ thời năm 2005, đã chứng minh rằng một thiết bị mà anh xây dựng được gọi là OwnStar, có thể mạo danh một hệ thống mạng xe đã biết. Ví dụ, với nó, anh có thể mở chiếc xe General Motors được kích hoạt OnStar. Bí quyết nằm ở chỗ đặt thiết bị lên hãm xung hoặc dưới gầm của một chiếc xe hơi hoặc xe tải mục tiêu. Thiết bị này giả mạo điểm truy cập không dây của ô tô, thứ tự động liên kết thiết bị di động không nghi ngờ của người lái với điểm truy cập mới (giả sử trình điều khiển trước đây được liên kết với điểm truy cập ban đầu). Bất cứ khi nào người dùng khởi chạy ứng dụng trên thiết bị di động OnStar, trên iOS hoặc Android, mã OwnStar khai thác lỗ hổng trong ứng dụng để lấy cắp thông tin đăng nhập OnStar của trình điều khiển. “Ngay sau khi bạn đang ở trên mạng của tôi và bạn mở ứng dụng, tôi đã tiếp quản trình điều khiển đó,” Kamkar nói.
Sau khi có được thông tin đăng nhập của người dùng trên RemoteLink, phần mềm hỗ trợ OnStar và nghe âm thanh khóa hoặc mở khóa (bíp), kẻ tấn công có thể theo dõi một chiếc xe trong một bãi đậu xe đông đúc, mở cửa và ăn cắp bất cứ thứ gì có giá trị bên trong. Sau đó, những kẻ tấn công sẽ gỡ các thiết bị khỏi hãm xung. Đó là một cuộc tấn công rất gọn gàng, vì không có dấu hiệu của sự xâm nhập cưỡng ép, bỏ mặc chủ sở hữu và công ty bảo hiểm giải quyết những gì đã xảy ra.
Các nhà nghiên cứu đã phát hiện ra rằng các tiêu chuẩn kết nối xe được thiết kế để cải thiện lưu lượng giao thông cũng có thể bị theo dõi. Thông tin liên lạc từ phương tiện-đến-phương tiện (vehicle-to-vehicle, viết tắt là V2V) và từ phương tiện-đến-cơ sở hạ tầng (vehicle-to-infrastructure, viết tắt làV2I), được gọi chung là V2X, kêu gọi xe phát sóng tin nhắn 10 lần một giây, sử dụng một phần phủ sóng Wi-Fi ở mức 5.9 gigahertz được gọi là 802.11p.
Thật không may, dữ liệu này được gửi không được mã hóa – nó cần phải như thế. Khi xe đang chạy tốc độ cao trên xa lộ, một phần nghìn giây trễ cần thiết để giải mã tín hiệu có thể dẫn đến một vụ tai nạn nguy hiểm, do đó, các nhà thiết kế đã lựa chọn các liên lạc mở, không được mã hóa. Biết được điều này, họ nhấn mạnh rằng các thông tin liên lạc không chứa thông tin cá nhân, thậm chí không có số giấy phép biển xe. Tuy nhiên, để ngăn chặn giả mạo, các tin nhắn được ký điện tử. Đó là những chữ ký số giống như IMEI (số sê-ri điện thoại di động) được gửi từ điện thoại di động của chúng ta, có thể truy dấu ngược lại tới chủ sở hữu đã đăng ký của chiếc xe.
Jonathan Petit, một trong những nhà nghiên cứu trong nhóm trên, nói với Wired, “Chiếc xe đang nói ‘Tôi là Alice, đây là vị trí của tôi, đây là tốc độ và hướng đi của tôi.” Mọi người xung quanh bạn đều có thể nghe điều đó… Họ có thể nói, ‘Có Alice, cô ấy nói đang ở nhà, nhưng cô ấy lái xe đến cửa hàng thuốc, đi đến một phòng khám sản,’… Ai đó có thể phỏng đoán rất nhiều thông tin cá nhân về hành khách.”
Petit đã thiết kế một hệ thống với giá khoảng 1.000 đô-la có thể lắng nghe thông tin liên lạc V2X và anh cho biết một thị trấn nhỏ có thể chi ra 1 triệu đô-la để gắn các cảm biến này. Thay vì có một lực lượng cảnh sát lớn, thị trấn sẽ sử dụng các cảm biến để xác định các lái xe và, quan trọng hơn, thói quen của họ.
