剛過去的這個周末，程序員們忙壞了。

所有人都在加班加點修補同一個漏洞。

Apache Log4j是一個基于Java的日志記錄組件。Apache Log4j2是Log4j的升級版本，通過重寫Log4j引入了豐富的功能特性。該日志組件被廣泛應用于業(yè)務系統(tǒng)開發(fā)，用以記錄程序輸入輸出日志信息。2021年11月24日，阿里云安全團隊向Apache官方報告了Apache Log4j2遠程代碼執(zhí)行漏洞。由于Log4j2組件在處理程序日志記錄時存在JNDI注入缺陷，未經(jīng)授權(quán)的攻擊者利用該漏洞，可向目標服務器發(fā)送精心構(gòu)造的惡意數(shù)據(jù)，觸發(fā)Log4j2組件解析缺陷，實現(xiàn)目標服務器的任意代碼執(zhí)行，獲得目標服務器權(quán)限。CNVD對該漏洞的綜合評級為“高?！薄?/p>

這是國家互聯(lián)網(wǎng)應急中心對這個漏洞的介紹。

也許這個描述對非程序員的人群來說，仍顯復雜。若簡單“翻譯”，就是這個漏洞意味著只需要一個字符串，無需密碼或認證，就可以訪問任何使用Log4j2這個Java庫的服務器，甚至直接在里面運行自己的代碼。

某種程度上就相當于任何人都可以拿到一個萬能鑰匙，進入使用Log4j2的任意一戶“人家”，然后想做什么能做什么就全看“小偷”的發(fā)揮了。

問題的嚴重性已經(jīng)很明顯。這個漏洞很快被冠以“核彈級漏洞“、“現(xiàn)代計算機史上最大漏洞”等稱號，原因就在于，Log4j2這個Java庫實在太流行。

“幾乎所有你能想到的互聯(lián)網(wǎng)公司，都有在使用它”。

而且，這個漏洞還是一個“零日漏洞”。也就是說發(fā)現(xiàn)漏洞的同時，利用這個漏洞的攻擊就已經(jīng)在發(fā)生了。與那些漏洞已經(jīng)有了補丁后才出現(xiàn)的黑客攻擊相比，這種零日漏洞帶來的攻擊的手法和帶來的危害的可能性都是未知的，這讓防御者處在明處，而攻擊者卻在暗處且看得清你的一舉一動。

如應急中心所說，漏洞最早在11月底就已經(jīng)提交給官方。但修補尚未出現(xiàn)時，事情先變得嚴重起來——《我的世界》這款最流行的游戲之一，在12月9日遭受了利用這個漏洞的大規(guī)模攻擊，這款微軟旗下的游戲，不少服務器直接關(guān)閉。

更多的開發(fā)者意識到問題嚴重：蘋果、亞馬遜、Steam、騰訊，Github上60644個開源項目的321094個軟件包，都在這個名單里。

而且據(jù)Apache方面表示，Log4j2作為一個開源組件被用在不同的系統(tǒng)中，使它根本無法追蹤到底有多少代碼里使用了它。

所有互聯(lián)網(wǎng)公司都慌了。上周五開始，“幾乎所有程序員都在修Log4j2”。

而根據(jù)漏洞相關(guān)信息開始進行的“攻擊”也瞬間猛增。有互聯(lián)網(wǎng)安全機構(gòu)記錄到12月10日當天開始的海量攻擊，其中除了惡意的黑客行為，也有很多是來自試圖進一步了解這個漏洞對自己以及一些知名公司安全性影響的“研究”。不少人在百度、谷歌等最基礎(chǔ)的服務的登陸或搜索框里輸入相關(guān)的漏洞字符希望一窺究竟。

這個漏洞的特性意味著，它就像一個夾子，你可以用它掀起一些公司平日遮蔽的較為嚴實的蓋頭，看看里面——于是，在更加影響惡劣的數(shù)據(jù)泄露事件尚未發(fā)生時，一些意想不到的“次生災害”卻更早到來。

就在安全圈為之沸騰，討論如何快速修復，以及不停測試哪些公司在受到影響時，一次針對特斯拉的測試卻帶出了意想不到的新問題。

12月13日，一名互聯(lián)網(wǎng)安全人士在微博上公布了幾張截圖。并配上文字：

特斯拉還是把數(shù)據(jù)傳回美國了嘛。

根據(jù)這些截圖，這名發(fā)布者對這個漏洞在特斯拉移動端App上進行了測試，而特斯拉服務器的IP地址很快被暴露出來，拿著這些IP地址一查，結(jié)果顯示這些服務器歸屬美國。

“所有中國業(yè)務所產(chǎn)生的所有數(shù)據(jù)完全存儲在中國境內(nèi)”——特斯拉CEO伊隆· 馬斯克今年9月曾經(jīng)言之鑿鑿，但似乎被這個漏洞掀起的一角將了一軍。

那么這幾張截圖說明了什么呢？

讓我們把這個測試簡化到大部分人都可以理解的程度。（這其中可能會喪失一些嚴謹性——比如下面會提到的“打開網(wǎng)頁”，其實是對于dns解析的簡單化解釋——但能夠更直觀的理解這個操作的過程）。

要做這個測試，首先需要一個dnslog.cn或ceye.io這樣的網(wǎng)站。這個網(wǎng)站提供兩個功能，一是生成二級域名，也就是網(wǎng)址。二是當你把這個網(wǎng)址發(fā)給別人，對方用手機或電腦等設(shè)備打開了這個網(wǎng)址，你都能在這個網(wǎng)站上得到反饋，最基本的信息包括了打開時間以及IP地址。

理論上，這個“別人”可以是你隔壁領(lǐng)居，也可以是特斯拉，但是一般來說特斯拉的服務器是沒道理點開你發(fā)的地址的，除非你能讓他不得不點開。而Log4j2的漏洞正是危險在此。當把這個特定的測試語句加進網(wǎng)址，在代碼里使用了Log4j2組件的特斯拉軟件系統(tǒng)，就會“不由自主”自動打開它，然后這些痕跡會回到發(fā)送者這里。

通過這個辦法，同樣可以測試蘋果或者亞馬遜以及其他任何網(wǎng)站有沒有漏洞。做個比喻：

我面前有3個小孩（即三家不同公司），分別標記為 A、B、C，每人手里有一根火柴，有兩根火柴受潮了不能使用，有一根是正常的可以被點燃（可燃即代表有漏洞）。為了驗證誰的火柴是可燃的（即為了驗證哪個公司有漏洞），我找了3枚鞭炮，分別標記為a、b、c 。

a給小孩A，b給B，c給C，讓他們?nèi)c鞭炮。

過了一會，鞭炮響了，湊近一看，殘渣碎屑上看出是b鞭炮，那么就證明小朋友B手中的火柴是可燃的（有漏洞的）。

如前所述，在這個漏洞得到廣泛重視后，大量這樣的放鞭炮行為開始發(fā)生。而這個微博所記錄的也是一次類似的測試。但這個測試不僅顯示特斯拉存在漏洞，真的打開了一個這樣的“釣魚”網(wǎng)址，而且它因此暴露的服務器地址，也揭露了更多信息：

當這名測試者把自己在中國境內(nèi)登陸特斯拉系統(tǒng)而得到的IP地址，放在whatsmyip（一個IP查詢網(wǎng)站）上一搜，IP地址顯示的ASN歸屬地卻在美國境內(nèi)。包括華盛頓、新澤西和愛荷華。

其中一個IP地址顯示關(guān)聯(lián)到華盛頓。

頓時一片嘩然。

特斯拉App對于這款智能電動汽車的重要性不言而喻。

特斯拉車主很多時候就是在依靠移動端App管理自己的用車。去年5月，國內(nèi)曾有多位車主表示由于特斯拉App出現(xiàn)大面積宕機，導致手機無法關(guān)聯(lián)上車輛，進而導致手機鑰匙失效，車輛信息無法獲取，車內(nèi)的中控屏和儀表盤因此無法激活的狀態(tài)。

包括行駛和購買行為在內(nèi)，中國特斯拉車主的個人信息幾乎都被錄入在移動端的App上。在今年10月升級了哨兵模式后，手機端已經(jīng)可以實時查看汽車攝像頭內(nèi)容。特斯拉當時對此的聲明是，實時攝像頭將會是端對端加密的，特斯拉無法訪問。

集成了包括實時車內(nèi)內(nèi)容在內(nèi)的移動端App無疑是一個越發(fā)敏感的零件。大量中國車主的敏感信息積累在移動端App中。而現(xiàn)在，這些截圖顯示，App所連接的服務器卻指向了美國。

不過，就在這個微博下面，許多不同的解讀也在出現(xiàn)。這個信息能說明的數(shù)據(jù)安全的嚴重性并沒有達到“共識”。尤其作為聰明人聚集的經(jīng)常針鋒相對的計算機安全領(lǐng)域，對于這個結(jié)論，不同人給出不同的理解。

有人稱，這只是一種常規(guī)操作?！安灰欢ㄊ莻鬏敂?shù)據(jù)，可能是調(diào)了某個接口?！庇腥嗽u論。

一位數(shù)據(jù)安全人士舉了個更通俗的例子：

“比如，騰訊要統(tǒng)計全球有多少Q(mào)Q用戶同時在線，這時候，也會統(tǒng)計到美國用戶的對嗎？但這時候從美國傳到中國的，其實只是個統(tǒng)計的在線人數(shù)，不涉及用戶個人信息。此時你說中國的騰訊公司是在收集美國數(shù)據(jù)嗎，你說是也行，說不是也沒錯?！?/p>

具體到特斯拉，或者蘋果以及其他相似狀況的公司，他是僅僅調(diào)用了一下美國服務器上的服務接口，還是真的有用戶個人信息的傳輸，也成了判斷這些信息流動行為是否合適的關(guān)鍵。

“這不能證明其他個人信息，比如通訊錄、短信、照片等，也傳到了美國。并且對方采集個人信息是否是加密傳輸及存儲，是否符合相關(guān)法規(guī)的數(shù)據(jù)安全生命周期處置規(guī)范，這些都不是依據(jù)當前信息可以判斷的?！庇邪踩珡臉I(yè)者表示。

除此之外，服務器地址和數(shù)據(jù)庫地址并不一定在同地。

由于跨海溝通會增加延時，公司一般不會這么做，但如果沒有即時通信需求——比如數(shù)據(jù)備份——服務器和數(shù)據(jù)庫被放置在兩個國家的可能性是存在的，另一位開發(fā)者表示。

顯然，大家對此十分謹慎。不過，一個事實是，從這些截圖和操作來看，一個包含域名的漏洞測試語句，的確從中國傳回了美國服務器。一名認證為螞蟻高級安全專家的博主表示，從這個截圖來看，別的數(shù)據(jù)不知道，但車輛的名稱數(shù)據(jù)是肯定傳回了美國。

不遠萬里把車主的車名數(shù)據(jù)傳回美國，這背后不知道是出于什么考慮。

這顯然又讓特斯拉中國陷入一個十分敏感又令人困惑的境遇。一次針對漏洞的測試卻再次讓人們意識到，特斯拉和特斯拉中國所宣稱的數(shù)據(jù)留存在中國究竟執(zhí)行的如何、究竟哪些數(shù)據(jù)依然需要去美國轉(zhuǎn)一圈、以及它們會以什么形式轉(zhuǎn)一圈？可能至今就連特斯拉中國車主們也不清楚。

在2021年11月已經(jīng)正式生效的個人信息保護法里，這樣規(guī)定：

第三十九條　個人信息處理者向中華人民共和國境外提供個人信息的，應當向個人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項，并取得個人的單獨同意。

除此之外，也有不少開發(fā)者表示，這個在12月13日發(fā)布的測試也說明，在全世界都在10日就開始加班加點急著補上這個漏洞的時候，特斯拉似乎直到13日也還沒開始處理這個漏洞。有國外媒體引述知名機構(gòu)Fortress Information Security相關(guān)負責人稱，整個互聯(lián)網(wǎng)對于這個漏洞的修復工作遠未結(jié)束。

“但看看日歷表，兩周后是什么，圣誕假期”。

12月14日，馬斯克帶著他的兒子參加《時代》舉辦的慶祝活動。此前他被《時代》選為今年的年度人物。

“由于Apache Log4j2在框架組件和軟硬件產(chǎn)品二次開發(fā)中應用較為廣泛，CNVD平臺建議各廠商單位對開發(fā)的軟硬件產(chǎn)品和服務進行積極自查，重點檢查對Apache Apache Log4j2組件的引用情況，若發(fā)現(xiàn)受此漏洞影響的請立即修復，并通知產(chǎn)品用戶及時更新?！?2月13日，國家互聯(lián)網(wǎng)應急中心也發(fā)布公告，建議廠商及時自查并通知用戶。

這個漏洞帶來的混亂還會持續(xù)一段時間?？赡軙懈嗟摹按紊毙畔⒁蛩丁６诖诵枰嵝训氖?，有互聯(lián)網(wǎng)安全相關(guān)人士表示，不建議大家拿著這段漏洞代碼去各大網(wǎng)站上隨便嘗試，因為這可能帶來不必要的糟糕的影響，進而讓操作者自己也惹上風險。

本文來自微信公眾號 “品玩”（ID：pinwancool），作者：油醋，36氪經(jīng)授權(quán)發(fā)布。

關(guān)鍵詞： 特斯拉 告訴我們 美國