剛過(guò)去的這個(gè)周末，程序員們忙壞了。

所有人都在加班加點(diǎn)修補(bǔ)同一個(gè)漏洞。

Apache Log4j是一個(gè)基于Java的日志記錄組件。Apache Log4j2是Log4j的升級(jí)版本，通過(guò)重寫(xiě)Log4j引入了豐富的功能特性。該日志組件被廣泛應(yīng)用于業(yè)務(wù)系統(tǒng)開(kāi)發(fā)，用以記錄程序輸入輸出日志信息。2021年11月24日，阿里云安全團(tuán)隊(duì)向Apache官方報(bào)告了Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞。由于Log4j2組件在處理程序日志記錄時(shí)存在JNDI注入缺陷，未經(jīng)授權(quán)的攻擊者利用該漏洞，可向目標(biāo)服務(wù)器發(fā)送精心構(gòu)造的惡意數(shù)據(jù)，觸發(fā)Log4j2組件解析缺陷，實(shí)現(xiàn)目標(biāo)服務(wù)器的任意代碼執(zhí)行，獲得目標(biāo)服務(wù)器權(quán)限。CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高危”。

這是國(guó)家互聯(lián)網(wǎng)應(yīng)急中心對(duì)這個(gè)漏洞的介紹。

也許這個(gè)描述對(duì)非程序員的人群來(lái)說(shuō)，仍顯復(fù)雜。若簡(jiǎn)單“翻譯”，就是這個(gè)漏洞意味著只需要一個(gè)字符串，無(wú)需密碼或認(rèn)證，就可以訪問(wèn)任何使用Log4j2這個(gè)Java庫(kù)的服務(wù)器，甚至直接在里面運(yùn)行自己的代碼。

某種程度上就相當(dāng)于任何人都可以拿到一個(gè)萬(wàn)能鑰匙，進(jìn)入使用Log4j2的任意一戶“人家”，然后想做什么能做什么就全看“小偷”的發(fā)揮了。

問(wèn)題的嚴(yán)重性已經(jīng)很明顯。這個(gè)漏洞很快被冠以“核彈級(jí)漏洞“、“現(xiàn)代計(jì)算機(jī)史上最大漏洞”等稱號(hào)，原因就在于，Log4j2這個(gè)Java庫(kù)實(shí)在太流行。

“幾乎所有你能想到的互聯(lián)網(wǎng)公司，都有在使用它”。

而且，這個(gè)漏洞還是一個(gè)“零日漏洞”。也就是說(shuō)發(fā)現(xiàn)漏洞的同時(shí)，利用這個(gè)漏洞的攻擊就已經(jīng)在發(fā)生了。與那些漏洞已經(jīng)有了補(bǔ)丁后才出現(xiàn)的黑客攻擊相比，這種零日漏洞帶來(lái)的攻擊的手法和帶來(lái)的危害的可能性都是未知的，這讓防御者處在明處，而攻擊者卻在暗處且看得清你的一舉一動(dòng)。

如應(yīng)急中心所說(shuō)，漏洞最早在11月底就已經(jīng)提交給官方。但修補(bǔ)尚未出現(xiàn)時(shí)，事情先變得嚴(yán)重起來(lái)——《我的世界》這款最流行的游戲之一，在12月9日遭受了利用這個(gè)漏洞的大規(guī)模攻擊，這款微軟旗下的游戲，不少服務(wù)器直接關(guān)閉。

更多的開(kāi)發(fā)者意識(shí)到問(wèn)題嚴(yán)重：蘋(píng)果、亞馬遜、Steam、騰訊，Github上60644個(gè)開(kāi)源項(xiàng)目的321094個(gè)軟件包，都在這個(gè)名單里。

而且據(jù)Apache方面表示，Log4j2作為一個(gè)開(kāi)源組件被用在不同的系統(tǒng)中，使它根本無(wú)法追蹤到底有多少代碼里使用了它。

所有互聯(lián)網(wǎng)公司都慌了。上周五開(kāi)始，“幾乎所有程序員都在修Log4j2”。

而根據(jù)漏洞相關(guān)信息開(kāi)始進(jìn)行的“攻擊”也瞬間猛增。有互聯(lián)網(wǎng)安全機(jī)構(gòu)記錄到12月10日當(dāng)天開(kāi)始的海量攻擊，其中除了惡意的黑客行為，也有很多是來(lái)自試圖進(jìn)一步了解這個(gè)漏洞對(duì)自己以及一些知名公司安全性影響的“研究”。不少人在百度、谷歌等最基礎(chǔ)的服務(wù)的登陸或搜索框里輸入相關(guān)的漏洞字符希望一窺究竟。

這個(gè)漏洞的特性意味著，它就像一個(gè)夾子，你可以用它掀起一些公司平日遮蔽的較為嚴(yán)實(shí)的蓋頭，看看里面——于是，在更加影響惡劣的數(shù)據(jù)泄露事件尚未發(fā)生時(shí)，一些意想不到的“次生災(zāi)害”卻更早到來(lái)。

就在安全圈為之沸騰，討論如何快速修復(fù)，以及不停測(cè)試哪些公司在受到影響時(shí)，一次針對(duì)特斯拉的測(cè)試卻帶出了意想不到的新問(wèn)題。

12月13日，一名互聯(lián)網(wǎng)安全人士在微博上公布了幾張截圖。并配上文字：

特斯拉還是把數(shù)據(jù)傳回美國(guó)了嘛。

根據(jù)這些截圖，這名發(fā)布者對(duì)這個(gè)漏洞在特斯拉移動(dòng)端App上進(jìn)行了測(cè)試，而特斯拉服務(wù)器的IP地址很快被暴露出來(lái)，拿著這些IP地址一查，結(jié)果顯示這些服務(wù)器歸屬美國(guó)。

“所有中國(guó)業(yè)務(wù)所產(chǎn)生的所有數(shù)據(jù)完全存儲(chǔ)在中國(guó)境內(nèi)”——特斯拉CEO伊隆· 馬斯克今年9月曾經(jīng)言之鑿鑿，但似乎被這個(gè)漏洞掀起的一角將了一軍。

那么這幾張截圖說(shuō)明了什么呢？

讓我們把這個(gè)測(cè)試簡(jiǎn)化到大部分人都可以理解的程度。（這其中可能會(huì)喪失一些嚴(yán)謹(jǐn)性——比如下面會(huì)提到的“打開(kāi)網(wǎng)頁(yè)”，其實(shí)是對(duì)于dns解析的簡(jiǎn)單化解釋——但能夠更直觀的理解這個(gè)操作的過(guò)程）。

要做這個(gè)測(cè)試，首先需要一個(gè)dnslog.cn或ceye.io這樣的網(wǎng)站。這個(gè)網(wǎng)站提供兩個(gè)功能，一是生成二級(jí)域名，也就是網(wǎng)址。二是當(dāng)你把這個(gè)網(wǎng)址發(fā)給別人，對(duì)方用手機(jī)或電腦等設(shè)備打開(kāi)了這個(gè)網(wǎng)址，你都能在這個(gè)網(wǎng)站上得到反饋，最基本的信息包括了打開(kāi)時(shí)間以及IP地址。

理論上，這個(gè)“別人”可以是你隔壁領(lǐng)居，也可以是特斯拉，但是一般來(lái)說(shuō)特斯拉的服務(wù)器是沒(méi)道理點(diǎn)開(kāi)你發(fā)的地址的，除非你能讓他不得不點(diǎn)開(kāi)。而Log4j2的漏洞正是危險(xiǎn)在此。當(dāng)把這個(gè)特定的測(cè)試語(yǔ)句加進(jìn)網(wǎng)址，在代碼里使用了Log4j2組件的特斯拉軟件系統(tǒng)，就會(huì)“不由自主”自動(dòng)打開(kāi)它，然后這些痕跡會(huì)回到發(fā)送者這里。

通過(guò)這個(gè)辦法，同樣可以測(cè)試蘋(píng)果或者亞馬遜以及其他任何網(wǎng)站有沒(méi)有漏洞。做個(gè)比喻：

我面前有3個(gè)小孩（即三家不同公司），分別標(biāo)記為 A、B、C，每人手里有一根火柴，有兩根火柴受潮了不能使用，有一根是正常的可以被點(diǎn)燃（可燃即代表有漏洞）。為了驗(yàn)證誰(shuí)的火柴是可燃的（即為了驗(yàn)證哪個(gè)公司有漏洞），我找了3枚鞭炮，分別標(biāo)記為a、b、c 。

a給小孩A，b給B，c給C，讓他們?nèi)c(diǎn)鞭炮。

過(guò)了一會(huì)，鞭炮響了，湊近一看，殘?jiān)樾忌峡闯鍪莃鞭炮，那么就證明小朋友B手中的火柴是可燃的（有漏洞的）。

如前所述，在這個(gè)漏洞得到廣泛重視后，大量這樣的放鞭炮行為開(kāi)始發(fā)生。而這個(gè)微博所記錄的也是一次類似的測(cè)試。但這個(gè)測(cè)試不僅顯示特斯拉存在漏洞，真的打開(kāi)了一個(gè)這樣的“釣魚(yú)”網(wǎng)址，而且它因此暴露的服務(wù)器地址，也揭露了更多信息：

當(dāng)這名測(cè)試者把自己在中國(guó)境內(nèi)登陸特斯拉系統(tǒng)而得到的IP地址，放在whatsmyip（一個(gè)IP查詢網(wǎng)站）上一搜，IP地址顯示的ASN歸屬地卻在美國(guó)境內(nèi)。包括華盛頓、新澤西和愛(ài)荷華。

其中一個(gè)IP地址顯示關(guān)聯(lián)到華盛頓。

頓時(shí)一片嘩然。

特斯拉App對(duì)于這款智能電動(dòng)汽車的重要性不言而喻。

特斯拉車主很多時(shí)候就是在依靠移動(dòng)端App管理自己的用車。去年5月，國(guó)內(nèi)曾有多位車主表示由于特斯拉App出現(xiàn)大面積宕機(jī)，導(dǎo)致手機(jī)無(wú)法關(guān)聯(lián)上車輛，進(jìn)而導(dǎo)致手機(jī)鑰匙失效，車輛信息無(wú)法獲取，車內(nèi)的中控屏和儀表盤(pán)因此無(wú)法激活的狀態(tài)。

包括行駛和購(gòu)買行為在內(nèi)，中國(guó)特斯拉車主的個(gè)人信息幾乎都被錄入在移動(dòng)端的App上。在今年10月升級(jí)了哨兵模式后，手機(jī)端已經(jīng)可以實(shí)時(shí)查看汽車攝像頭內(nèi)容。特斯拉當(dāng)時(shí)對(duì)此的聲明是，實(shí)時(shí)攝像頭將會(huì)是端對(duì)端加密的，特斯拉無(wú)法訪問(wèn)。

集成了包括實(shí)時(shí)車內(nèi)內(nèi)容在內(nèi)的移動(dòng)端App無(wú)疑是一個(gè)越發(fā)敏感的零件。大量中國(guó)車主的敏感信息積累在移動(dòng)端App中。而現(xiàn)在，這些截圖顯示，App所連接的服務(wù)器卻指向了美國(guó)。

不過(guò)，就在這個(gè)微博下面，許多不同的解讀也在出現(xiàn)。這個(gè)信息能說(shuō)明的數(shù)據(jù)安全的嚴(yán)重性并沒(méi)有達(dá)到“共識(shí)”。尤其作為聰明人聚集的經(jīng)常針?shù)h相對(duì)的計(jì)算機(jī)安全領(lǐng)域，對(duì)于這個(gè)結(jié)論，不同人給出不同的理解。

有人稱，這只是一種常規(guī)操作。“不一定是傳輸數(shù)據(jù)，可能是調(diào)了某個(gè)接口?！庇腥嗽u(píng)論。

一位數(shù)據(jù)安全人士舉了個(gè)更通俗的例子：

“比如，騰訊要統(tǒng)計(jì)全球有多少Q(mào)Q用戶同時(shí)在線，這時(shí)候，也會(huì)統(tǒng)計(jì)到美國(guó)用戶的對(duì)嗎？但這時(shí)候從美國(guó)傳到中國(guó)的，其實(shí)只是個(gè)統(tǒng)計(jì)的在線人數(shù)，不涉及用戶個(gè)人信息。此時(shí)你說(shuō)中國(guó)的騰訊公司是在收集美國(guó)數(shù)據(jù)嗎，你說(shuō)是也行，說(shuō)不是也沒(méi)錯(cuò)?！?/p>

具體到特斯拉，或者蘋(píng)果以及其他相似狀況的公司，他是僅僅調(diào)用了一下美國(guó)服務(wù)器上的服務(wù)接口，還是真的有用戶個(gè)人信息的傳輸，也成了判斷這些信息流動(dòng)行為是否合適的關(guān)鍵。

“這不能證明其他個(gè)人信息，比如通訊錄、短信、照片等，也傳到了美國(guó)。并且對(duì)方采集個(gè)人信息是否是加密傳輸及存儲(chǔ)，是否符合相關(guān)法規(guī)的數(shù)據(jù)安全生命周期處置規(guī)范，這些都不是依據(jù)當(dāng)前信息可以判斷的?！庇邪踩珡臉I(yè)者表示。

除此之外，服務(wù)器地址和數(shù)據(jù)庫(kù)地址并不一定在同地。

由于跨海溝通會(huì)增加延時(shí)，公司一般不會(huì)這么做，但如果沒(méi)有即時(shí)通信需求——比如數(shù)據(jù)備份——服務(wù)器和數(shù)據(jù)庫(kù)被放置在兩個(gè)國(guó)家的可能性是存在的，另一位開(kāi)發(fā)者表示。

顯然，大家對(duì)此十分謹(jǐn)慎。不過(guò)，一個(gè)事實(shí)是，從這些截圖和操作來(lái)看，一個(gè)包含域名的漏洞測(cè)試語(yǔ)句，的確從中國(guó)傳回了美國(guó)服務(wù)器。一名認(rèn)證為螞蟻高級(jí)安全專家的博主表示，從這個(gè)截圖來(lái)看，別的數(shù)據(jù)不知道，但車輛的名稱數(shù)據(jù)是肯定傳回了美國(guó)。

不遠(yuǎn)萬(wàn)里把車主的車名數(shù)據(jù)傳回美國(guó)，這背后不知道是出于什么考慮。

這顯然又讓特斯拉中國(guó)陷入一個(gè)十分敏感又令人困惑的境遇。一次針對(duì)漏洞的測(cè)試卻再次讓人們意識(shí)到，特斯拉和特斯拉中國(guó)所宣稱的數(shù)據(jù)留存在中國(guó)究竟執(zhí)行的如何、究竟哪些數(shù)據(jù)依然需要去美國(guó)轉(zhuǎn)一圈、以及它們會(huì)以什么形式轉(zhuǎn)一圈？可能至今就連特斯拉中國(guó)車主們也不清楚。

在2021年11月已經(jīng)正式生效的個(gè)人信息保護(hù)法里，這樣規(guī)定：

第三十九條　個(gè)人信息處理者向中華人民共和國(guó)境外提供個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類以及個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項(xiàng)，并取得個(gè)人的單獨(dú)同意。

除此之外，也有不少開(kāi)發(fā)者表示，這個(gè)在12月13日發(fā)布的測(cè)試也說(shuō)明，在全世界都在10日就開(kāi)始加班加點(diǎn)急著補(bǔ)上這個(gè)漏洞的時(shí)候，特斯拉似乎直到13日也還沒(méi)開(kāi)始處理這個(gè)漏洞。有國(guó)外媒體引述知名機(jī)構(gòu)Fortress Information Security相關(guān)負(fù)責(zé)人稱，整個(gè)互聯(lián)網(wǎng)對(duì)于這個(gè)漏洞的修復(fù)工作遠(yuǎn)未結(jié)束。

“但看看日歷表，兩周后是什么，圣誕假期”。

12月14日，馬斯克帶著他的兒子參加《時(shí)代》舉辦的慶?；顒?dòng)。此前他被《時(shí)代》選為今年的年度人物。

“由于Apache Log4j2在框架組件和軟硬件產(chǎn)品二次開(kāi)發(fā)中應(yīng)用較為廣泛，CNVD平臺(tái)建議各廠商單位對(duì)開(kāi)發(fā)的軟硬件產(chǎn)品和服務(wù)進(jìn)行積極自查，重點(diǎn)檢查對(duì)Apache Apache Log4j2組件的引用情況，若發(fā)現(xiàn)受此漏洞影響的請(qǐng)立即修復(fù)，并通知產(chǎn)品用戶及時(shí)更新?！?2月13日，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心也發(fā)布公告，建議廠商及時(shí)自查并通知用戶。

這個(gè)漏洞帶來(lái)的混亂還會(huì)持續(xù)一段時(shí)間。可能會(huì)有更多的“次生”信息因它而披露。而在此需要提醒的是，有互聯(lián)網(wǎng)安全相關(guān)人士表示，不建議大家拿著這段漏洞代碼去各大網(wǎng)站上隨便嘗試，因?yàn)檫@可能帶來(lái)不必要的糟糕的影響，進(jìn)而讓操作者自己也惹上風(fēng)險(xiǎn)。

本文來(lái)自微信公眾號(hào) “品玩”（ID：pinwancool），作者：油醋，36氪經(jīng)授權(quán)發(fā)布。

關(guān)鍵詞： 特斯拉 告訴我們 美國(guó)