剛過去的這個周末，程序員們忙壞了。

所有人都在加班加點修補(bǔ)同一個漏洞。

Apache Log4j是一個基于Java的日志記錄組件。Apache Log4j2是Log4j的升級版本，通過重寫Log4j引入了豐富的功能特性。該日志組件被廣泛應(yīng)用于業(yè)務(wù)系統(tǒng)開發(fā)，用以記錄程序輸入輸出日志信息。2021年11月24日，阿里云安全團(tuán)隊向Apache官方報告了Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞。由于Log4j2組件在處理程序日志記錄時存在JNDI注入缺陷，未經(jīng)授權(quán)的攻擊者利用該漏洞，可向目標(biāo)服務(wù)器發(fā)送精心構(gòu)造的惡意數(shù)據(jù)，觸發(fā)Log4j2組件解析缺陷，實現(xiàn)目標(biāo)服務(wù)器的任意代碼執(zhí)行，獲得目標(biāo)服務(wù)器權(quán)限。CNVD對該漏洞的綜合評級為“高危”。

這是國家互聯(lián)網(wǎng)應(yīng)急中心對這個漏洞的介紹。

也許這個描述對非程序員的人群來說，仍顯復(fù)雜。若簡單“翻譯”，就是這個漏洞意味著只需要一個字符串，無需密碼或認(rèn)證，就可以訪問任何使用Log4j2這個Java庫的服務(wù)器，甚至直接在里面運(yùn)行自己的代碼。

某種程度上就相當(dāng)于任何人都可以拿到一個萬能鑰匙，進(jìn)入使用Log4j2的任意一戶“人家”，然后想做什么能做什么就全看“小偷”的發(fā)揮了。

問題的嚴(yán)重性已經(jīng)很明顯。這個漏洞很快被冠以“核彈級漏洞“、“現(xiàn)代計算機(jī)史上最大漏洞”等稱號，原因就在于，Log4j2這個Java庫實在太流行。

“幾乎所有你能想到的互聯(lián)網(wǎng)公司，都有在使用它”。

而且，這個漏洞還是一個“零日漏洞”。也就是說發(fā)現(xiàn)漏洞的同時，利用這個漏洞的攻擊就已經(jīng)在發(fā)生了。與那些漏洞已經(jīng)有了補(bǔ)丁后才出現(xiàn)的黑客攻擊相比，這種零日漏洞帶來的攻擊的手法和帶來的危害的可能性都是未知的，這讓防御者處在明處，而攻擊者卻在暗處且看得清你的一舉一動。

如應(yīng)急中心所說，漏洞最早在11月底就已經(jīng)提交給官方。但修補(bǔ)尚未出現(xiàn)時，事情先變得嚴(yán)重起來——《我的世界》這款最流行的游戲之一，在12月9日遭受了利用這個漏洞的大規(guī)模攻擊，這款微軟旗下的游戲，不少服務(wù)器直接關(guān)閉。

更多的開發(fā)者意識到問題嚴(yán)重：蘋果、亞馬遜、Steam、騰訊，Github上60644個開源項目的321094個軟件包，都在這個名單里。

而且據(jù)Apache方面表示，Log4j2作為一個開源組件被用在不同的系統(tǒng)中，使它根本無法追蹤到底有多少代碼里使用了它。

所有互聯(lián)網(wǎng)公司都慌了。上周五開始，“幾乎所有程序員都在修Log4j2”。

而根據(jù)漏洞相關(guān)信息開始進(jìn)行的“攻擊”也瞬間猛增。有互聯(lián)網(wǎng)安全機(jī)構(gòu)記錄到12月10日當(dāng)天開始的海量攻擊，其中除了惡意的黑客行為，也有很多是來自試圖進(jìn)一步了解這個漏洞對自己以及一些知名公司安全性影響的“研究”。不少人在百度、谷歌等最基礎(chǔ)的服務(wù)的登陸或搜索框里輸入相關(guān)的漏洞字符希望一窺究竟。

這個漏洞的特性意味著，它就像一個夾子，你可以用它掀起一些公司平日遮蔽的較為嚴(yán)實的蓋頭，看看里面——于是，在更加影響惡劣的數(shù)據(jù)泄露事件尚未發(fā)生時，一些意想不到的“次生災(zāi)害”卻更早到來。

就在安全圈為之沸騰，討論如何快速修復(fù)，以及不停測試哪些公司在受到影響時，一次針對特斯拉的測試卻帶出了意想不到的新問題。

12月13日，一名互聯(lián)網(wǎng)安全人士在微博上公布了幾張截圖。并配上文字：

特斯拉還是把數(shù)據(jù)傳回美國了嘛。

根據(jù)這些截圖，這名發(fā)布者對這個漏洞在特斯拉移動端App上進(jìn)行了測試，而特斯拉服務(wù)器的IP地址很快被暴露出來，拿著這些IP地址一查，結(jié)果顯示這些服務(wù)器歸屬美國。

“所有中國業(yè)務(wù)所產(chǎn)生的所有數(shù)據(jù)完全存儲在中國境內(nèi)”——特斯拉CEO伊隆· 馬斯克今年9月曾經(jīng)言之鑿鑿，但似乎被這個漏洞掀起的一角將了一軍。

那么這幾張截圖說明了什么呢？

讓我們把這個測試簡化到大部分人都可以理解的程度。（這其中可能會喪失一些嚴(yán)謹(jǐn)性——比如下面會提到的“打開網(wǎng)頁”，其實是對于dns解析的簡單化解釋——但能夠更直觀的理解這個操作的過程）。

要做這個測試，首先需要一個dnslog.cn或ceye.io這樣的網(wǎng)站。這個網(wǎng)站提供兩個功能，一是生成二級域名，也就是網(wǎng)址。二是當(dāng)你把這個網(wǎng)址發(fā)給別人，對方用手機(jī)或電腦等設(shè)備打開了這個網(wǎng)址，你都能在這個網(wǎng)站上得到反饋，最基本的信息包括了打開時間以及IP地址。

理論上，這個“別人”可以是你隔壁領(lǐng)居，也可以是特斯拉，但是一般來說特斯拉的服務(wù)器是沒道理點開你發(fā)的地址的，除非你能讓他不得不點開。而Log4j2的漏洞正是危險在此。當(dāng)把這個特定的測試語句加進(jìn)網(wǎng)址，在代碼里使用了Log4j2組件的特斯拉軟件系統(tǒng)，就會“不由自主”自動打開它，然后這些痕跡會回到發(fā)送者這里。

通過這個辦法，同樣可以測試蘋果或者亞馬遜以及其他任何網(wǎng)站有沒有漏洞。做個比喻：

我面前有3個小孩（即三家不同公司），分別標(biāo)記為 A、B、C，每人手里有一根火柴，有兩根火柴受潮了不能使用，有一根是正常的可以被點燃（可燃即代表有漏洞）。為了驗證誰的火柴是可燃的（即為了驗證哪個公司有漏洞），我找了3枚鞭炮，分別標(biāo)記為a、b、c 。

a給小孩A，b給B，c給C，讓他們?nèi)c鞭炮。

過了一會，鞭炮響了，湊近一看，殘渣碎屑上看出是b鞭炮，那么就證明小朋友B手中的火柴是可燃的（有漏洞的）。

如前所述，在這個漏洞得到廣泛重視后，大量這樣的放鞭炮行為開始發(fā)生。而這個微博所記錄的也是一次類似的測試。但這個測試不僅顯示特斯拉存在漏洞，真的打開了一個這樣的“釣魚”網(wǎng)址，而且它因此暴露的服務(wù)器地址，也揭露了更多信息：

當(dāng)這名測試者把自己在中國境內(nèi)登陸特斯拉系統(tǒng)而得到的IP地址，放在whatsmyip（一個IP查詢網(wǎng)站）上一搜，IP地址顯示的ASN歸屬地卻在美國境內(nèi)。包括華盛頓、新澤西和愛荷華。

其中一個IP地址顯示關(guān)聯(lián)到華盛頓。

頓時一片嘩然。

特斯拉App對于這款智能電動汽車的重要性不言而喻。

特斯拉車主很多時候就是在依靠移動端App管理自己的用車。去年5月，國內(nèi)曾有多位車主表示由于特斯拉App出現(xiàn)大面積宕機(jī)，導(dǎo)致手機(jī)無法關(guān)聯(lián)上車輛，進(jìn)而導(dǎo)致手機(jī)鑰匙失效，車輛信息無法獲取，車內(nèi)的中控屏和儀表盤因此無法激活的狀態(tài)。

包括行駛和購買行為在內(nèi)，中國特斯拉車主的個人信息幾乎都被錄入在移動端的App上。在今年10月升級了哨兵模式后，手機(jī)端已經(jīng)可以實時查看汽車攝像頭內(nèi)容。特斯拉當(dāng)時對此的聲明是，實時攝像頭將會是端對端加密的，特斯拉無法訪問。

集成了包括實時車內(nèi)內(nèi)容在內(nèi)的移動端App無疑是一個越發(fā)敏感的零件。大量中國車主的敏感信息積累在移動端App中。而現(xiàn)在，這些截圖顯示，App所連接的服務(wù)器卻指向了美國。

不過，就在這個微博下面，許多不同的解讀也在出現(xiàn)。這個信息能說明的數(shù)據(jù)安全的嚴(yán)重性并沒有達(dá)到“共識”。尤其作為聰明人聚集的經(jīng)常針鋒相對的計算機(jī)安全領(lǐng)域，對于這個結(jié)論，不同人給出不同的理解。

有人稱，這只是一種常規(guī)操作?！安灰欢ㄊ莻鬏敂?shù)據(jù)，可能是調(diào)了某個接口?！庇腥嗽u論。

一位數(shù)據(jù)安全人士舉了個更通俗的例子：

“比如，騰訊要統(tǒng)計全球有多少Q(mào)Q用戶同時在線，這時候，也會統(tǒng)計到美國用戶的對嗎？但這時候從美國傳到中國的，其實只是個統(tǒng)計的在線人數(shù)，不涉及用戶個人信息。此時你說中國的騰訊公司是在收集美國數(shù)據(jù)嗎，你說是也行，說不是也沒錯。”

具體到特斯拉，或者蘋果以及其他相似狀況的公司，他是僅僅調(diào)用了一下美國服務(wù)器上的服務(wù)接口，還是真的有用戶個人信息的傳輸，也成了判斷這些信息流動行為是否合適的關(guān)鍵。

“這不能證明其他個人信息，比如通訊錄、短信、照片等，也傳到了美國。并且對方采集個人信息是否是加密傳輸及存儲，是否符合相關(guān)法規(guī)的數(shù)據(jù)安全生命周期處置規(guī)范，這些都不是依據(jù)當(dāng)前信息可以判斷的?！庇邪踩珡臉I(yè)者表示。

除此之外，服務(wù)器地址和數(shù)據(jù)庫地址并不一定在同地。

由于跨海溝通會增加延時，公司一般不會這么做，但如果沒有即時通信需求——比如數(shù)據(jù)備份——服務(wù)器和數(shù)據(jù)庫被放置在兩個國家的可能性是存在的，另一位開發(fā)者表示。

顯然，大家對此十分謹(jǐn)慎。不過，一個事實是，從這些截圖和操作來看，一個包含域名的漏洞測試語句，的確從中國傳回了美國服務(wù)器。一名認(rèn)證為螞蟻高級安全專家的博主表示，從這個截圖來看，別的數(shù)據(jù)不知道，但車輛的名稱數(shù)據(jù)是肯定傳回了美國。

不遠(yuǎn)萬里把車主的車名數(shù)據(jù)傳回美國，這背后不知道是出于什么考慮。

這顯然又讓特斯拉中國陷入一個十分敏感又令人困惑的境遇。一次針對漏洞的測試卻再次讓人們意識到，特斯拉和特斯拉中國所宣稱的數(shù)據(jù)留存在中國究竟執(zhí)行的如何、究竟哪些數(shù)據(jù)依然需要去美國轉(zhuǎn)一圈、以及它們會以什么形式轉(zhuǎn)一圈？可能至今就連特斯拉中國車主們也不清楚。

在2021年11月已經(jīng)正式生效的個人信息保護(hù)法里，這樣規(guī)定：

第三十九條　個人信息處理者向中華人民共和國境外提供個人信息的，應(yīng)當(dāng)向個人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項，并取得個人的單獨(dú)同意。

除此之外，也有不少開發(fā)者表示，這個在12月13日發(fā)布的測試也說明，在全世界都在10日就開始加班加點急著補(bǔ)上這個漏洞的時候，特斯拉似乎直到13日也還沒開始處理這個漏洞。有國外媒體引述知名機(jī)構(gòu)Fortress Information Security相關(guān)負(fù)責(zé)人稱，整個互聯(lián)網(wǎng)對于這個漏洞的修復(fù)工作遠(yuǎn)未結(jié)束。

“但看看日歷表，兩周后是什么，圣誕假期”。

12月14日，馬斯克帶著他的兒子參加《時代》舉辦的慶祝活動。此前他被《時代》選為今年的年度人物。

“由于Apache Log4j2在框架組件和軟硬件產(chǎn)品二次開發(fā)中應(yīng)用較為廣泛，CNVD平臺建議各廠商單位對開發(fā)的軟硬件產(chǎn)品和服務(wù)進(jìn)行積極自查，重點檢查對Apache Apache Log4j2組件的引用情況，若發(fā)現(xiàn)受此漏洞影響的請立即修復(fù)，并通知產(chǎn)品用戶及時更新。”12月13日，國家互聯(lián)網(wǎng)應(yīng)急中心也發(fā)布公告，建議廠商及時自查并通知用戶。

這個漏洞帶來的混亂還會持續(xù)一段時間?？赡軙懈嗟摹按紊毙畔⒁蛩?。而在此需要提醒的是，有互聯(lián)網(wǎng)安全相關(guān)人士表示，不建議大家拿著這段漏洞代碼去各大網(wǎng)站上隨便嘗試，因為這可能帶來不必要的糟糕的影響，進(jìn)而讓操作者自己也惹上風(fēng)險。

本文來自微信公眾號 “品玩”（ID：pinwancool），作者：油醋，36氪經(jīng)授權(quán)發(fā)布。

關(guān)鍵詞： 特斯拉 告訴我們 美國