趋势科技旗下车用安全公司VicOne今日发布最新2022车用安全研究报告,指出电动汽车产业正面临日趋严重的资讯安全风险,特别是借远程无钥匙进入系统(Remote keyless entry , RKE)、充电设施及车内娱乐(IVI)等车用系统漏洞发动攻击,将对电动汽车使用安全及财务造成损失;而针对车厂及供应链而来的勒索病毒与资料外泄威胁,也将对电动汽车产业产生不可忽视的影响。
回顾2022年整体汽车产业重大安全事件,最严重的前二名分别为“勒索病毒”与“资料外泄”,受害者横跨开发、生产至销售整个产业供应链,其中遭受勒索病毒攻击的对象,又以供应商为大宗占67%。
而与2021第一季相比,2022同期遭受勒索病毒攻击的企业更增至30%,以Conti、LockBit和Hive等勒索病毒家族最为常见,他们利用已知技术侵入汽车供应链系统之中;而资料外泄(Data Breach)的部分则以客户资讯为大宗,占整体外泄内容的41.7%。
根据VicOne观察发现,2022年CVE通用漏洞披露数据库中,与汽车相关最为常见的三大弱点分别为系统芯片、操作系统核心和即时操作系统,这些漏洞和弱点可能会导致数据损坏、系统或程序崩溃、拒绝服务(DoS)与程序代码执行;若这些弱点存在于车辆中,将严重影响车辆控制和安全。
对此,VicOne揭示汽车业应注意三大攻击趋势。首先黑客既有针对汽车产业供应链的攻击手法将变得更加针对性,通过垃圾邮件散播或路过式下载(Drive by download)的方式传播勒索软件以提高获利效率。
其次,安全事件所造成的运营中断将不再是企业可能面临到的最坏情况,被泄露的客户数据将更直接的影响企业声誉。第三,威胁事件影响范围不再局限于受害者本身,将波及影响上游客户至下游供应商。
报告也提醒,充电设施、Cloud API及远程无钥匙进入系统也具有高风险。黑客可能通过电动汽车与充电站之间基于CAN bus-based的通信协议劫持数据传输,或通过移动设备收集用户资料以渗透云计算服务权限,或者利用无线电通信系统将恶意程序发送至充电站或电动汽车以取得控制权。同时,也需留意被运用于车辆数据传输与连接前后端服务的Cloud API,一旦遭到破解,黑客便能长驱直入掌控车辆,因此必须限制其权限在最小合理使用范围。
(首图来源:unsplash)