Утилизированные автомобили сохраняют персональные данные владельцев — и их можно восстановить без особых усилий

Исследование эксперта по кибербезопасности Ромен Маршан из Quarkslab показало, что списанные автомобили могут годами хранить чувствительную информацию о своих владельцах, причём доступ к ней не требует сложных методов взлома.

Данные остаются даже после утилизации

В ходе эксперимента специалист приобрёл телематический блок (TCU), ранее установленный в электромобиле BYD Seal. Устройство было куплено через онлайн-площадку, связанную с разборкой и утилизацией автомобилей.

После анализа аппаратной части выяснилось, что блок построен на базе решений Qualcomm и использует память производства Micron Technology. Извлечение данных из NAND-накопителя позволило получить доступ к файловой системе на базе Linux, где хранились системные параметры и журналы работы автомобиля.

Примечательно, что информация не была защищена шифрованием, что существенно упростило её извлечение.

История передвижений как на ладони

Внутренние логи содержали подробные записи о перемещениях автомобиля. По сути, удалось восстановить весь маршрут эксплуатации — от момента производства в Китае до использования в Великобритании и последующей утилизации в Польше.

Отдельный интерес вызвал участок с высокой концентрацией GPS-координат. Анализ позволил определить конкретное место и сопоставить его с публикацией в Facebook о ДТП. Данные совпали с инцидентом, в котором фигурировал тот же автомобиль.

Таким образом, телематический модуль фактически выступает в роли долговременного хранилища пользовательской активности.

Масштаб проблемы выходит за рамки одного бренда

По словам Ромен Маршан, аналогичные подходы к хранению данных используются не только у BYD, но и у других автопроизводителей. Это указывает на системную уязвимость в архитектуре современных подключённых автомобилей.

Даже стандартная процедура сброса до заводских настроек не гарантирует полного удаления информации. В автомобилях задействовано множество электронных блоков управления (ECU), часть из которых недоступна пользователю и не предусматривает очистку памяти.

Потенциальные угрозы для пользователей

Подобная ситуация создаёт риски утечки личной информации, включая маршруты, поведенческие паттерны и другие чувствительные данные. Особенно это актуально для каршеринговых сервисов, прокатных компаний и лизинговых операторов.

Эксперты рекомендуют по возможности избегать подключения личных устройств к чужим автомобилям и обязательно выполнять сброс настроек. Однако даже эти меры не дают полной гарантии удаления данных.

Ограничения законодательства и технологические сложности

Современные автомобили не только хранят данные локально, но и передают их производителям для анализа и улучшения сервисов. При этом пользователю зачастую неизвестно, какие именно данные и в каком объёме сохраняются.

Несмотря на действие General Data Protection Regulation в Европе, который требует анонимизации персональной информации, в автомобильной индустрии это реализуется не в полной мере. Некоторые данные остаются привязанными к транспортному средству для работы навигации, систем помощи водителю и обновлений.

В результате даже после завершения жизненного цикла автомобиля информация о его владельце может сохраняться и потенциально быть доступной третьим лицам.