NIO Logo Created with sketchtool.

一起来聊聊蔚来数字账号安全体验

一起来聊聊蔚来数字账号安全体验

(朱颢) 2020年12月04日

大家好,我和 @Jacky 是负责数字账号安全的产品经理和体验经理。很高兴这次有机会和大家聊一聊蔚来在信息与网络安全保护方面的话题,希望大家可以多多参与,多多互动,让大家更了解蔚来,也让我们更了解你的想法。

在数字化时代下,随着汽车电子化、智能化和网联化的发展,包括EC6、ES6、ES8在内的很多智能车辆,已经从早先纯粹的交通工具演变成了越来越个性化的智能移动网络终端,从相对孤立的电子机械系统演变成了与外界有千丝万缕联系的智能交通网络系统节点。

不过,智能网联汽车在给我们带来巨大的便利性、舒适性和高效性的同时,本身也面临着信息安全和数据保护的挑战。

对于蔚来而言,我们所面临的信息安全问题,横跨了虚拟和物理两个世界:不单有互联网领域、虚拟领域的信息安全和隐私保护风险;信息安全与否,对车的功能安全会有很大的影响,甚至可能影响大家的人身和财产安全。

因此,从我们设计产品之初,信息安全和数据保护就一直是我们所坚持的基本原则。

蔚来一直以来都在施行全公司范围的数据分级保护。与用户相关的数据一直都是最高等级的机密信息,从其收集、传输、使用和处理,到存储、销毁的整个生命周期,都会对其进行风险分析,并作出相应的改进,从而确保这些数据在所有的线上系统和线下各种使用场景中,都能够得到恰当的保护。

1、数据的产生和处理

从注册蔚来账号伊始,到在社区内发帖,与“朋友”聊天,在惊喜商城中购买产品,爱上蔚来决定“下订”,包括日后的每个用车场景……站在系统的角度,每一个行为,都会对应到数据的产生和处理。

不过,大家可以放心,蔚来在整个过程中因为业务需求所收集的所有数据,都会严格限制仅在该业务所依赖的场景下所应用。数据的收集和处理,也会严格遵照国家相关法律法规来执行。

在数据的处理过程中,除了严格的权限管控和业务需求管控以外,我们注册时所提供的手机号、购车时提供的个人证件号、安装充电桩时提供的地址,在传输和存储的时候都是严格加密的,保证了从端到端的数据安全体系。

2、账号中心

接下来我来介绍一下账号中心,账号中心是蔚来用户体系的基础平台。除了基本的数据加密之外,账号中心还完成了对所有数据的假名化处理。

通俗来说,就是我们把大家日常在和蔚来接触的过程中产生的数据,和能够定位到具体个人的信息(譬如注册时候提供的手机号、证件号码等),进行了分开的处理和存储。

每个用户账号会随机生成一个ID,各个业务系统所收集和处理的数据,都只关联在这个随机ID上。账号中心作为一个高度独立和安全的系统,专门负责随机ID和用户个人标识的映射。这样,即便有人拿到了数据,也没法对应到具体的个人身上。

另外,在内部的管控权限上,我们也做了相应的管理。有业务数据权限的人员无法拥有账号中心权限,有账号中心权限的人没有数据权限。

只有当大家从手机或者车机里面自己需要使用这个映射时,才有权限在系统内部通过多层校验来取得这个映射,从而知道这个数据归属于谁。正是这些层层举措,保证了蔚来云端用户的数据和相关隐私的安全。

3、远程车辆控制

远程车辆控制为大家提供了从App上对车辆进行远程解闭锁、开关空调的能力。远程车控一直都是黑客们最爱的攻击对象,一旦出现漏洞,黑客们无需靠近车辆,就可以无差异化地对所有车进行攻击。

因为涉及到车辆的物理安全,这种漏洞造成的影响也是极其巨大的。目前各家厂商提供的远程车控功能大同小异,但更多的差异是在背后的一些安全细节上。

蔚来采用了比肩银行金融行业的安全体系,从手机端、车机端、云端和传输管道分层进行安全防范,来保证远程车控的安全。我们通过各种技术手段,来确保远程操作请求一定是授信的符合权限的,也符合用户本人意图且没有被篡改过,并且是新鲜的。

譬如解锁后备箱命令,无法被篡改成解锁整车命令;又譬如哪怕是通过某些技术手段,录制了完整的请求指令,在之后重新发送,也是无法通过校验的。

这里面的手段包括双向TLS校验、蔚来PKI证书体系、私有APN等等,因为过于技术细节,这里就不过多描述了,有兴趣的同学可以单独联系我探讨。大家只要记得,蔚来车联网始终把用户的安全放在最高位。

另外,还有一点要提醒一下,因为严格的产品设计逻辑和技术限制,所以即便是蔚来的400、Fellow等,都无法直接从后台对车直接进行远程操作。所以如果大家有类似需要请蔚来400进行后台直接干预的需求,建议预先把车辆授权给自己的亲朋好友,然后请他们代为操作。

4、用户授权

目前蔚来的用户授权分为两种,一种是大家在NIO App上直接进行操作的主动授权;另一种是大家在进行服务下单时的被动授权。

大家可以在NIO App上将自己的爱车分享给好友,授权可以分为共同用车人(最多1个)和普通授权(最多9个)。授权的时候可以选择对应的权限,譬如是否要分享车辆定位、分享媒体、视频等功能的使用、分享安全箱,以及是否允许授权人使用运动模式等。

有关主动授权,我们注意到有用户抱怨“分享位置”功能。一方面,在开启之后有种时时被监控的感觉;但不开启的话,又好像没给对方信任。关于这个功能,大家有什么想法可以踊跃提议。

另外一种授权是用户在进行服务下单时的被动授权,譬如下单一键加电、快递到车,这个时候用户对我们的服务进行了关联的被动授权。获得授权的一键加电、快递到车的指定小哥可以通过NFC等方式获取进车、开车的权限。

根据服务的类别和业务需求,每把授权钥匙的密钥文件、权限和有效时长都是不一样的。譬如快递到车的小哥只能开启后备箱,一键加电的小哥只有进车和开车的权限。这些临时钥匙会在服务结束的时候立刻失效。一旦在失效之后,他们就不再具备任何可以操作这辆车的能力了。而在被动授权的服务过程中,蔚来会监管小哥的所有行为,确保车辆安全。

5、车内摄像头和语音隐私

车内摄像头和语音在提供了便捷能力的同时,也给大家带来了一定的隐私担忧。关于这点尽可放宽心,蔚来绝不会在不经用户同意的情况下,去查看车内摄像头,或是获取车内语音。

对于摄像头数据,在未经用户同意之前,均只会在车机内部进行处理。车内摄像头的疲劳监测,类比iPhone上的Face ID功能,摄像头只有在需要的时候才会被开启,且不会留下任何记录。

对于行车记录仪数据,蔚来无法主动获取车内的视频数据,用户如果想上传行车记录仪的数据给手机App然后分享,需要自行手动在车内点击上传才可以。

对于语音数据,NOMI仅会在被唤醒进行对话之后再进行语音的收集,被唤醒之前是不会记录任何语音数据的。唤醒之后与NOMI进行对话的语音数据,会匿名化进行语音识别、理解和智能化的决策。

如果大家在一些场景下不希望NOMI被唤醒以及对话被听到,可以在App上打开NOMI的静默模式,这样任何对话都不会被听到。

6、蔚来App安全

作为用户与蔚来最重要的交互工具,蔚来App自身的安全性我们也非常重视。蔚来App平均每两周就有一次迭代,每个版本我们都会进行安全评估和渗透测试,每隔固定周期我们还会请业界顶尖的团队进行全面的渗透测试和评估,以排除目前监测到的可能存在的安全风险,这样就可以更好的保障用户权益,如防止用户数据被爬取造成信息泄露、防止斌哥发红包被外挂抢走、防止大家心仪的蔚来精品都被羊毛党薅走导致一直缺货等等。

总体来讲,无论是过去、现在、将来,我们始终会把信息安全和用户隐私保护放在首位。

如果你对数字账号安全体验有任何想法和建议,都可以在评论中给我留言,我们会挑选出有价值的建议,并邀请到提出好建议的用户加入到产品体验社群中,与体验经理团队近距离沟通交流,甚至可能全程参与产品体验的设计和验证。

期待你的参与,让我们一起创造愉悦的用车体验。