趨勢科技車用資安新公司VicOne 發佈最新車用安全報告

根據VicOne觀察發現,2022年CVE通用漏洞披露資料庫中,與汽車相關最爲常見的三大弱點分別爲:系統晶片(System-on-Chip,SoC)、作業系統核心(Kernel)、及即時作業系統(Real-time operating system,RTOS),這些值得OEM廠商與供應商注意的漏洞和弱點,可能會導致數據損壞(data corruption)、系統或程序崩潰(systems or programs crashes)、阻斷服務(DoS)與程式碼執行(code execution),若這些弱點存在於車輛中,將嚴重影響車輛控制和安全。

回顧2022年整體汽車產業重大資安事件,最嚴重的前二名分別爲「勒索病毒」與「資料外泄」,受害者橫跨開發、生產至銷售整個產業供應鏈,其中遭受勒索病毒攻擊的對象,又以供應商爲大宗佔67%,同時,與2021第一季相比,2022同期遭受勒索病毒攻擊的企業更增至30%,以Conti、LockBit和Hive等勒索病毒家族最爲常見,他們利用已知技術侵入汽車供應鏈系統之中,而資料外泄(Data Breach)的部份則以客戶資訊爲大宗,佔整體外泄內容的41.7%。

VicOne最新車用資安報告也揭示了汽車業需注意的三大攻擊趨勢,首先,駭客既有針對汽車產業供應鏈的攻擊手法將變得更加針對性,透過垃圾郵件散播或路過式下載(Drive by download)的方式散佈勒索軟體以提高獲利效率。其次,資安事件所造成的營運中斷將不再是企業可能面臨到的最壞情況,被泄漏的客戶數據將更直接的影響企業聲譽。再者,威脅事件影響範圍不再侷限於受害者本身,將擴及影響上游客戶至下游供應商。

報告中亦提及充電設施、Cloud API以及遠端無鑰匙進入系統(Remote Keyless Entry,RKE)等高風險面向。駭客可能透過電動車與充電站之間基於CAN bus-based的通訊協議劫持數據傳輸,或透過行動裝置收集用戶資料以滲透雲端服務權限,抑或者利用無線電通訊系統將惡意程式傳送至充電站或電動車以取得控制權。同時,也需留意被運用於車輛數據傳輸與連結前後端服務的Cloud API,一旦遭到破解,駭客便能長驅直入掌控車輛,因此必須限制其權限在最小合理使用範圍。

此外,隨着無線電設備取得更加容易,相關程式碼編寫進入門檻降低,使得遠端無鑰匙進入系統(RKE)更容易被駭客利用,駭客可透過重放攻擊(replay attack)破解智慧鑰匙密碼,採取滾動式程式碼機制可有效防止此類型攻擊。

趨勢科技核心技術部資深協理暨VicOne威脅研究副總裁張裕敏表示,VicOne的願景是保護未來車的資訊安全,隨着電動汽車市場日益蓬勃興盛,可以預見駭客將爲了謀取利益更加不擇手段,整體產業將比以往任何時候都面臨着更爲巨大的挑戰。VicOne依託趨勢科技在網路安全領域30多年的深厚技術經驗,本報告希望能提醒車用供應鏈夥伴對眼前的資安攻擊威脅有所警覺,企業唯有摒棄舊思維,爲每一階段的生產與服務量身打造符合需求的資安方案,才能快速應對各種新興威脅。

開源軟體可快速建構汽車系統架構,但其潛藏的弱點卻可能嚴重影響車輛安全性,真正的安全是實現競爭力的同時也要保持安全的資訊環境。

空中下載技術(Over-the-Air Technology,OTA)是電動車設計不可或缺的一部分,能增加安全性並省下成本。

維護電動車好比維護一座移動的大型數據中心,必須提高對於安全的要求,車輛安全營運中心(VSOC)的存在將不可或缺。

針對隨汽車市場發展快速變化的惡意攻擊,VicOne提供資安重點預測包括勒索軟體將持續影響汽車供應鏈,並將目標擴大至雲端供應商和車用元件。無線電信號攻擊(重放、回放、阻斷、中間人攻擊及其他攻擊)將增加。惡意軟體將被植入IVI/TCU系統。駭客將利用晶片等級的漏洞發動攻擊。OTA將成攻擊標的,駭客將可利用此機制於車輛中植入惡意程式碼。攻擊者可繞過數位鎖(digital locks),並利用漏洞操控付款機制。