旧车存储数据未清删 可追溯车辆完整行程轨迹
法国网络安全公司Quarkslab的研究工程师罗曼·马尚(Romain Marchand)从波兰一家报废车场获取一台比亚迪(BYD)汽车的远程信息处理控制单元(TCU),拆解后发现其基于高通芯片的系统内嵌Linux文件系统,存储于美光多芯片封装(MCP)中的NAND非易失性存储器中。
该存储器未加密,保存了车辆系统配置及完整GPS定位日志,涵盖车辆从中国工厂出厂、运抵英国使用,直至最终报废于波兰的全过程轨迹。
马尚在分析中指出,此类硬件架构在其他汽车品牌中亦普遍存在,暴露了汽车行业数据安全与隐私保护的重大漏洞。此发现凸显了车辆电子系统在报废处理环节缺乏数据清除标准的问题,可能对车主隐私及企业数据安全构成潜在风险。
编辑点评
此次发现揭示了智能汽车在数据生命周期管理上的系统性缺陷。车辆在报废后,其车载系统中残留的GPS轨迹数据未被清除,甚至可追溯至跨国运输路径,这对用户隐私构成严重威胁。更深层的问题在于,当前汽车制造行业普遍未建立统一的数据擦除标准,尤其是在TCU(远程信息处理控制单元)等关键模块中,非易失性存储未采取加密或自动清除机制。此类漏洞不仅影响中国品牌,也暴露全球车企在数据治理上的共性短板。未来,随着智能网联汽车普及,相关法规将面临更高要求,欧盟GDPR、美国加州隐私法等可能推动强制性数据清除规范,同时汽车产业需在设计阶段即嵌入数据安全架构。此次事件或将成为推动全球汽车数据安全标准升级的催化剂。