- Dalam proyek *Privacy Not Included milik Mozilla, mobil baru yang terhubung ke internet dari 25 merek mobil utama seperti BMW, Ford, Toyota, Tesla, dan Subaru gagal memenuhi seluruh standar privasi dan keamanan
- Kendaraan modern mengumpulkan data pengemudi melalui mikrofon, kamera, ponsel pintar, aplikasi, dan situs web, dan pabrikan dapat membagikan atau menjualnya kepada pihak ketiga
- Cakupan pengumpulan meluas dari lokasi berkendara dan informasi kesehatan hingga, menurut beberapa kebijakan, informasi sensitif seperti kehidupan seksual, ras, status imigrasi, dan data genetik
- Mozilla tidak dapat memastikan apakah data dienkripsi, dan satu-satunya pabrikan yang menjawab pertanyaan terkait adalah Mercedes-Benz
- Kasus seperti Subaru, yang menganggap penumpang sebagai “pengguna” yang telah memberikan persetujuan, menunjukkan bahwa struktur kebijakan privasi kendaraan sulit dikendalikan baik oleh pengemudi maupun penumpang
Hasil investigasi Mozilla
- Proyek *Privacy Not Included dari Mozilla menyelidiki praktik privasi dan keamanan pada mobil baru yang memiliki fitur konektivitas internet
- Ke-25 merek mobil utama yang diselidiki semuanya tidak lulus uji Mozilla
- Merek yang termasuk dalam investigasi antara lain BMW, Ford, Toyota, Tesla, dan Subaru
- Mobil baru masa kini dinilai lebih mirip “mimpi buruk privasi beroda” yang mengumpulkan data pribadi dalam jumlah besar
Data yang dikumpulkan kendaraan
- Kendaraan modern mengumpulkan data melalui berbagai jalur seperti mikrofon, kamera, ponsel yang terhubung, aplikasi pabrikan, dan situs web
- Beberapa merek mengumpulkan informasi berikut tentang pengemudi
- lokasi berkendara
- ekspresi wajah
- berat badan
- informasi kesehatan
- ras
- Beberapa kebijakan terkait kendaraan juga mencakup informasi sensitif yang sulit dibayangkan bisa diketahui mobil
- kehidupan seksual
- status imigrasi
- data genetik
Contoh per merek
- Nissan adalah kasus terburuk yang ditunjuk Mozilla
- Kebijakan privasi Nissan mengindikasikan bahwa mereka dapat mengumpulkan kehidupan seksual, data diagnosis kesehatan, dan data genetik
- Namun, rincian tentang bagaimana tepatnya data tersebut dikumpulkan tidak dapat dipastikan
- Nissan memiliki hak untuk membagikan atau menjual “preferensi, karakteristik, kecenderungan psikologis, predisposisi, perilaku, sikap, kecerdasan, kemampuan, dan bakat” kepada broker data, aparat penegak hukum, dan pihak ketiga lainnya
- Juru bicara Nissan menjelaskan bahwa perusahaan mematuhi hukum yang berlaku dan memberikan transparansi saat mengumpulkan atau membagikan data pribadi
- Nissan menambahkan bahwa kebijakan privasinya mendefinisikan informasi pribadi dan informasi pribadi sensitif secara luas agar selaras dengan perubahan berbagai undang-undang privasi negara bagian, termasuk jenis data yang mungkin diterima secara tidak sengaja
- Volkswagen mengumpulkan perilaku berkendara seperti penggunaan sabuk pengaman dan kebiasaan mengerem, lalu menggabungkannya dengan informasi seperti usia dan jenis kelamin untuk iklan tertarget
- Kebijakan privasi Kia menyatakan memiliki hak untuk memantau “sex life” penggunanya
- Mercedes-Benz mengirimkan kendaraan dengan TikTok yang sudah terpasang di sistem infotainment, sementara TikTok sendiri juga memiliki masalah privasi
Tanggapan pabrikan
- Juru bicara BMW menjelaskan bahwa BMW NA memberikan pemberitahuan privasi yang komprehensif kepada pelanggan terkait pengumpulan informasi pribadi
- BMW NA menyatakan bahwa pengemudi dapat membuat pilihan yang rinci terkait pengumpulan dan pemrosesan informasi pribadi
- Juru bicara BMW menambahkan bahwa meski belum meninjau studi tersebut, BMW NA tidak menjual informasi pribadi pelanggan di dalam kendaraan dan mengambil langkah komprehensif untuk melindungi data pelanggan
- Juru bicara Mercedes-Benz menolak berkomentar karena perusahaan belum meninjau studi tersebut
- Namun, disebutkan bahwa aplikasi MercedesMe Connect memberi pengguna pengaturan privasi dan kemampuan untuk menolak beberapa layanan
- Pabrikan lain yang disebutkan dalam artikel tidak segera memberikan tanggapan
Masalah keamanan dan enkripsi
- Masalah privasi tidak berhenti pada sifat data yang dikumpulkan
- Mozilla tidak dapat memastikan apakah merek-merek yang diteliti mengenkripsi data yang mereka kumpulkan
- Satu-satunya merek yang menjawab pertanyaan Mozilla adalah Mercedes-Benz
“Privacy washing” dan prinsip industri
- Mozilla menilai banyak merek mobil melakukan privacy washing
- Artinya, mereka memberi kesan kepada konsumen bahwa tidak perlu khawatir soal privasi, padahal kenyataannya justru sebaliknya
- Banyak pabrikan besar menandatangani Consumer Privacy Protection Principles dari Alliance for Automotive Innovation
- Mozilla memandang prinsip ini sebagai janji yang dibuat sendiri oleh produsen mobil, bersifat tidak mengikat, dan samar
- Juru bicara Alliance for Automotive Innovation mengatakan bahwa prinsip tersebut saat ini berlaku dan dapat ditegakkan oleh Federal Trade Commission
Persetujuan dan masalah penumpang
- Subaru menganggap penumpang kendaraan sebagai “pengguna” dan menilai penumpang tersebut telah menyetujui pengumpulan informasi
- Sejumlah merek mobil mengharuskan pengemudi memberi tahu penumpang tentang kebijakan privasi kendaraan
- Toyota memiliki 12 kebijakan privasi yang berbeda
- Kebijakan privasi kendaraan disajikan dalam bentuk yang sulit benar-benar dibaca, dipahami, lalu disetujui oleh pengemudi dan penumpang
1 komentar
Pendapat Hacker News
Di antara berbagai pelanggaran privasi belakangan ini, sisi otomotif adalah yang paling saya benci. Saya memang “orang yang suka mobil”, tetapi bukan tipe yang hanya terobsesi pada mobil tua; saya juga menyukai teknologi baru, kemajuan rekayasa, dan mobil listrik.
Meski begitu, sudah berbulan-bulan saya mencari mobil baru dan belum bisa membeli, karena hampir tidak ada mobil yang memenuhi syarat yang saya inginkan. Perusahaan-perusahaan lebih banyak membuat truk atau crossover buruk daripada mobil, dan yang selalu menjadi penghambat adalah telemetri yang gila-gilaan, layar sentuh di mana-mana, teknologi keselamatan yang setengah matang, atau markup dealer yang tidak masuk akal.
Toyota GR Corolla tampaknya hampir sempurna untuk kriteria saya, tetapi sulit menemukannya di mana pun tanpa markup dealer $25K+, dan banyak dealer bahkan tidak mau menjual kepada penduduk negara bagian lain. Ini benar-benar masa yang aneh, baik untuk pasar mobil baru maupun mobil bekas.
Bukan hanya cepat terlihat usang, tetapi juga berbahaya.
Ada juga rangka serat karbon, dan meski tampilannya seperti econobox yang tinggi, rasa berkendaranya sangat bagus. Namun i3 sudah dihentikan produksinya, dan model-model baru menambahkan layar sentuh pada jog wheel, jadi saya tidak tahu apakah jog wheel itu masih cukup baik untuk penggunaan nyata.
Saya belum mencoba test drive model baru, tetapi sebelum membeli sepertinya saya akan memeriksa UI komputernya dengan saksama. Saya berharap BMW berhasil dengan pendekatan berlawanan: mempertahankan kontrol fisik dan tidak memperlakukan pelanggan dengan buruk, sehingga pabrikan lain ikut menirunya.
Mobil seperti ini kira-kira perlu diperbaiki sekitar setahun sekali.
Banyak yang membicarakan cara melumpuhkan telemetri, tetapi kali ini masalahnya bukan sekadar penjualan iklan. Ini benar-benar soal pengawasan dan kontrol, dan pada akhirnya pemerintah berbagai negara tampaknya akan mewajibkannya lalu menjadikan upaya mengakali sistem itu seilegal pelanggaran hak cipta.
Pemerintah AS akan angkat tangan sambil berkata, “bukan kami, ini pasar bebas, orang-orang memang menginginkannya,” tetapi perusahaan mobil akan saling menyesuaikan diri untuk mengumpulkan data dan membiarkan NSA mengambilnya, atau tidak menghalangi aksesnya.
Sebagian orang mungkin menganggap itu bagus karena semua orang yang berada di J6 bisa dipenjara, tetapi jika pemerintahan konservatif berkuasa, mereka bisa menargetkan semua orang yang berada di lokasi unjuk rasa BLM yang berubah menjadi kekerasan. Kekuasaan yang “kita” izinkan untuk dipakai terhadap “mereka” pada akhirnya akan dipakai terhadap “kita”.
Semua ini didasarkan pada sumber asli ini: https://foundation.mozilla.org/en/privacynotincluded/categor...
Saya belum mendalami metodologinya, tetapi tampaknya mereka menggunakan kebijakan privasi sebagai dasar, bukan benar-benar memeriksa lalu lintas telemetri kendaraan. Nada tulisannya juga terlalu ringan dan sensasional, terasa seperti “omagad”, sehingga tidak benar-benar menonjolkan keseriusan topik maupun hasilnya.
Jika hanya mencantumkan yang diblokir oleh konfigurasi default pi-hole, ada analytics.tiktok.com, sp.analytics.yahoo.com, googletagmanger.com, universal.iperceptions.com, cdn4.userzoom.com, snap.licdn.com, secure-ds.serving-sys.com, bat.bing.com, ct.pinterest.com, adherent.com, dan lain-lain.
Saya menduga aplikasi ponsel yang mengakses lokasi kendaraan juga memiliki daftar pelacak serupa. Kalau ada waktu, saya ingin melakukan MITM pada aplikasinya untuk memastikannya.
Tidak jelas apakah data keluar dari ponsel melalui celah akses data Android Auto / CarPlay, apakah mikrofon kendaraan secara aktif mendengarkan percakapan dan mengirimkannya untuk analisis, atau apakah ini sekadar asumsi bahwa “karena tertulis mereka berhak menggunakannya, tentu mereka akan mencoba mengumpulkannya”.
Cara untuk mengumpulkan data seperti aktivitas seksual hanya bisa berupa hal-hal yang benar-benar serius, dan sekalipun saya sama sekali tidak memercayai perusahaan mobil, cara seperti itu tampaknya bahkan bagi mereka sudah melewati batas.
Saya punya Jeep Grand Cherokee 2018, dan sedang mencoba mencari di mana kartu SIM untuk modem seluler bawaannya lalu mencabutnya.
Saya heran tidak lebih banyak orang tertarik memutus telemetri yang selalu aktif, dan sejujurnya saya juga tidak akan heran kalau setelah lokasinya ditemukan dan dicabut, mobilnya malah tidak berfungsi dengan benar.
Sekarang komunitas web terlalu terpencar, jadi suasananya kebanyakan “memangnya kenapa”. Kalau menggali thread yang tepat di forum per pabrikan, mungkin bisa menemukan satu-dua hasil investigasi, tetapi sebatas itu saja, dan hampir mustahil membandingkan merek mana yang lebih ramah terhadap pekerjaan semacam ini.
Saya tidak punya pengalaman langsung, tetapi melihat industri otomotif umumnya bergerak lambat, modem seluler sepertinya adalah modul yang menempel pada salah satu bus CAN, menerima telemetri yang disiarkan modul lain, atau menyuntikkan/menanyakan perintah saat diminta. Sebaiknya coba dapatkan manual servis pabrik; manual Haynes zaman sekarang bisa dibilang nyaris sampah.
Ini sangat cocok dengan arus industri yang mati-matian masuk ke model pendapatan berulang ala perusahaan teknologi.
Bagian bahwa “pabrikan mengumpulkan aktivitas seksual, data diagnosis kesehatan, bahkan data genetik” terdengar agak mencurigakan kalau tidak ada penjelasan konkret bagaimana itu mungkin dilakukan.
Bagian bahwa Mozilla tidak bisa memastikan apakah data yang dikumpulkan dienkripsi atau tidak: melihat rekam jejak keamanan industri otomotif, rasanya aman saja berasumsi semuanya disimpan di database MySQL tahun 2005 yang belum dipatch dengan root/password, lalu setiap malam mengekspor CSV plaintext ke folder jaringan terbuka. Kalau semua orang melakukannya, mereka bisa menyebutnya standar industri.
Bahwa aplikasi MercedesMe Connect menyediakan pengaturan privasi dan kemampuan menolak sebagian layanan itu mirip seperti orang-orang yang ingin menjual semua yang ada di mobil yang sudah Anda beli sebagai layanan berkata, “kalau khawatir sampel tinja Anda dikumpulkan saat memakai kursi kelas tertentu, Anda boleh memakai mobilnya sebagai pajangan garasi.”
Di sana juga tertulis bahwa “dengan menaiki kendaraan yang menggunakan layanan tersebut, Anda menyetujui pengumpulan dan penggunaan informasi oleh Nissan”, dan bahwa Anda “berjanji untuk mengedukasi dan memberi tahu semua pengguna serta penumpang kendaraan”.
Menariknya, bahkan pelanggan Uber / Lyft pun bisa terlihat seolah dianggap menyetujui pengumpulan aktivitas seksual, informasi genetik, serta analisis turunan terkait begitu mereka menaiki kendaraan Nissan.
Begitu data sudah terhubung, semua yang dikumpulkan masuk ke kumpulan yang sama. Di suatu tempat pasti terjadi pertukaran timbal balik seperti, “kita tahu John ada di mana saat mengemudi, jadi mari jual atau berikan data itu, lalu sebagai gantinya beli atau tukar data iklan dari situs-situs minat yang ia kunjungi.”
Di era modern, semua yang mekanis dan analog digantikan oleh digital atau “sesuatu sebagai perangkat lunak”, dan produk berubah menjadi layanan.
Pada akhirnya, ketika semuanya terhubung ke internet, semuanya menjadi bergantung. Gangguan sistem pada satu penyedia raksasa seperti AWS atau Google bisa menghentikan banyak mobil di suatu negara, dan di masa depan peretas bisa melumpuhkan lalu lintas satu negara penuh.
Dalam struktur oligopoli/monopoli, pihak yang berkuasa bisa menentukan secara sangat rinci apa yang boleh dilakukan dan ke mana orang boleh pergi. Individu tidak punya kekuatan untuk menentang, dan lembaga pemerintah pun bisa saja bersikap memusuhi atau terlalu kecil untuk melawan korporasi raksasa.
Apa yang akan dideteksi kamera di dalam mobil? Apakah pengemudi mabuk, atau bahkan lebih banyak lagi? Apakah karena kesalahan ia merekam lebih banyak hal? Apakah ada backdoor untuk pemerintah? Apakah mobil mengumpulkan audio, video, informasi biometrik, data wajah, ujaran kebencian, dan semacamnya? Ke mana Anda pergi dan mengapa Anda melakukan tindakan itu juga bisa dianalisis untuk bisnis iklan atau pemerintah.
Pabrikan bisa menetapkan syarat sehingga pada model yang lebih murah, data boleh dijual kepada pihak ketiga. Pada awalnya mungkin masih bisa dikurangi dampaknya dan kita bisa membeli mobil lama, tetapi jika akhirnya semua orang menerapkan pola perangkat lunak tekno-feodalisme, tidak akan ada cara untuk memilih kehidupan yang berbeda.
Sebagian mobil dapat menonaktifkannya secara fisik. Misalnya, Tacoma memiliki Data Communication Module (DCM) yang berisi radio seluler untuk melakukan semua ini dan menghubungi rumah
Dengan mencabut sekring di kotak sekring, suplai daya ke DCM bisa dihentikan; efek sampingnya hanya mikrofon kabin berhenti berfungsi, dan kapan pun bisa dipasang kembali. Rasanya seperti tim engineering tidak ingin membuat produk pengawasan, jadi mereka menyisipkan cara yang mudah untuk mematikannya
Kalau suatu saat ada yang merilis super module keren yang mengintegrasikan semuanya, sejak saat itu penonaktifan akan menjadi mustahil, jadi sebaiknya jangan berharap
Toyota adalah pabrikan yang pernah mencoba mengenakan biaya langganan bulanan agar key fob bisa berfungsi, sampai mendapat penolakan besar. Padahal benda itu bekerja 100% lokal antara key fob dan mobil, tanpa memakai seluler atau cloud sama sekali. Jangan berasumsi mereka tidak akan diam-diam mencobanya lagi
Dalam prosesnya, Anda juga bisa kehilangan fungsi seperti sebagian speaker, radio, Android Auto nirkabel, dan mikrofon
Semakin sering membaca hal seperti ini, rasanya saya akan mengendarai Toyota 4Runner berusia 23 tahun seumur hidup
Di Spanyol, melalui aturan dari Eropa, mobil bensin sebelum 2001 dan mobil diesel sebelum 2006 secara bertahap tidak lagi boleh melewati batas luas di sekitar pusat kota
Misalnya, Toyota 4Runner berusia 23 tahun akan dianggap terlalu mencemari atau berisik di pusat Madrid dan dekat akses masuk pendukungnya, dan mulai 2025 akan dilarang beroperasi di seluruh area berdiameter sekitar 23 km dari pusat
Tundra 2001 saya adalah kendaraan hidup/kerja yang nyaman dan serbaguna tanpa fitur mata-mata; tetap enak dipakai di kota dan juga andal untuk mengangkut kayu gelondongan serta baja di lahan saya. Saya punya tiga anak usia sekolah, tetapi truk jauh lebih cocok daripada van
Untuk selera saya, semua mobil yang dibuat setelah sekitar 2015 terasa terlalu over-engineered
Tidak ada key fob atau Bluetooth juga, dan harganya jauh lebih murah
Pernyataan bahwa “banyak orang menganggap mobil sebagai ruang privat untuk menelepon dokter atau berbincang pribadi dengan anak dalam perjalanan ke sekolah” masih 100% benar sampai beberapa tahun lalu, tetapi tampaknya cepat menghilang seiring kemajuan teknologi dan perlombaan pengumpulan data pribadi mencapai puncaknya
Saya takut di mobil baru kita harus menyetujui syarat dan ketentuan, lalu bahkan sebelum meninggalkan parkiran dealer akan melihat pesan seperti “Kami telah memperbarui ketentuan. Setujui untuk membuka kunci mobil”
Kalau sudah mencapai berkendara otonom penuh, sepertinya iklan akan mulai muncul di kokpit digital atau head-up display mobil. Bisa berdasarkan lokasi saat ini, suasana hati, stasiun radio yang didengarkan, atau apa pun. Ini bukan era yang ingin saya lihat
Solusinya tampaknya juga harus berkembang. Awalnya mungkin sebatas mencabut ECU telematika (electronic control unit), lalu produsen akan mengurangi atau menghapus fitur yang tidak terkait seolah menghukum pengemudi ketika ECU itu offline
Setelah itu, mungkin diperlukan hardware man-in-the-middle yang dipasang di antara konektor antena telematika dan GPS agar ECU hanya menerima data minimal, mungkin bahkan data palsu. Berikutnya, mereka mungkin akan mengharuskan mobil secara berkala menghubungi rumah dan mendapat respons valid agar dianggap normal
Tanpa perlindungan privasi yang mengakar di masyarakat Barat, saya makin merasa teknologi iklan Tiongkok sudah melampaui Amerika Serikat dan Eropa dalam kecanggihannya
Meski pertanyaannya sendiri terdengar konyol, apakah ini legal bahkan di AS yang hukum privasinya relatif lemah? Di banyak negara bagian, kendaraan secara hukum diperlakukan sebagai perpanjangan dari tempat tinggal
Karena itu, hak dan perlindungan hukum yang berlaku untuk rumah juga berlaku untuk kendaraan. Jadi apakah ini berarti ada klausul yang tersembunyi di suatu bagian teks hukum yang memberi perusahaan mobil wewenang untuk mengawasi pembeli?
Separuh perlindungan yang kita miliki saat ini diberikan karena “secara hukum diwajibkan di UE, dan biayanya rendah kalau diterapkan ke seluruh dunia”