車用資安廠商 VicOne 發表「2023 年汽車網路威脅情勢報告」。指出今年上半年網路攻擊所造成的損失金額已超過 110 億美元,且絕大多數網路攻擊瞄準了汽車供應商。 值得關注的是,VicOne 表示,這些攻擊超過 90% 並非針對車廠本身,而是供應鏈中的其他廠商。
汽車業因網路攻擊所遭受的損失正在增加
VicOne 報告解析汽車越來越高的複雜性以及新增的連網能力、自動化和先進駕駛輔助系統(ADAS)所衍生的網路資安問題。報告指出,業界因網路攻擊(如勒索病毒)、外洩資料或個人身分識別資訊(PII)曝光所遭受的損失正在成長,而同樣成長的還有系統停機所帶來的成本。
汽車資料一旦暴露,將造成車輛內部資料、駕駛人行為被追蹤收集分析、資料外洩或重置、個人私密資料勒索、社交工程攻擊、既有服務被迫中斷、車輛溝通聯繫管道失靈、保險詐騙等風險。
VicOne 觀察,因為駭客常常發現資安嚴密的公司較不容易滲透,因此轉而瞄準警覺性較低公司。然而,一旦供應鏈被中斷,車廠同樣亦受到衝擊, VicOne 表示,防範網路攻擊的工作已經不再只是保護好單一企業就行,而是要強化整個供應鏈。
汽車常見的資安弱點在哪?晶片、第三方 App、車載系統入列
VicOne 報告提及幾個可能導致汽車資料外洩的重要漏洞,並指出大多數問題是在晶片組或系統單晶片(SoC)上發現,其次是第三方管理應用程式以及車載資訊娛樂(IVI)系統。其中,第三方供應商,包括物流、服務供應商,以及參與車輛元件、配件或零件生產的公司,已逐漸成為攻擊的焦點。
VicOne 也列出這些常見的弱點列表(CWE)漏洞。越界寫入(OOBW)、越界讀取(OOBR)、緩衝區溢位、用後釋放和不當的輸入驗證漏洞,皆是 VicOne 記錄到最常見的一些問題。
而過去一年發生的幾件重大車用資案案例,包括了:Zenbleed 漏洞(可能導致每個核心敏感資料以每秒 30kb 的速度急速外洩)、CAN 匯流排注入(逐漸成為汽車竊賊的最愛技巧),以及攻擊車載資通訊系統(telematic systems)與應用程式開發介面(API)的漏洞來滲透後台雲端基礎架構。
掌握 AI 趨勢 & 活動資訊一點都不難!訂閱電子報,每週四一起《AI TOgether》
感謝訂閱!隨時注意信箱的最新資訊
汽車資安從何做起?VicOne 揭 5 大要點
VicOne 提出強化汽車網路安全的 5 個要點:
- 實施強而有力的資料保護措施:包括靜態和傳輸中資料的加密、安全 API 和安全雲儲存,並且應定期進行安全檢查與滲透測試。
- 主動提醒車主/用戶資料的重要性:OEM 和其他利益關係人應該告知用戶資料收集、潛在風險以及如何保護資料,包含清晰、易於理解的隱私權政策,以及如何調整資料蒐集設定與退出。
- 保護車輛 API 安全:例如身分驗證、速度限制、以及定期監控和紀錄 API 活動,偵測並回應任何可疑活動。
- 明確規範資料收集和使用:需要有明確的法規來管理車輛資料的收集、儲存和使用,包含誰有權訪問資料、儲存時間以及使用目的。監管機構需要制定和執行資料隱私和保護法來保護駕駛員。
- 開發安全的中介軟體 API:中介 API 可能讓網路犯罪分子輕鬆地存取車輛的 E/E 架構和 ECU,因此設計必須考量到安全性,包含強勢驗證和加密,防止未經授權的使用行為。
VicOne 指出,汽車數據越值錢,網路犯罪活動就越活絡,而法規仍是汽車產業發展的關鍵力量,不過,車輛合規落實網路安全以及有效執行網路安全評估皆是目前挑戰,而 UN R155 規範將從 2024 年 7 月開始對新生產的車輛要求符合安全條件。
【推薦閱讀】
*本文由 VicOne 提供,內文與標題經 TechOrange 修訂後刊登。新聞稿 / 產品訊息提供,可寄至:[email protected],經編輯檯審核並評估合宜性後再行刊登。圖片來源:截圖自 VicOne。
(責任編輯:廖紹伶)
