趋势科技车用安全新公司VicOne发布最新2022车用安全研究报告,报告指出电动汽车产业正面临日趋严重的资讯安全风险,特别是借远程无钥匙进入系统 (remote keyless entry , RKE)、充电设施及车内娱乐(IVI) 等车用系统漏洞发动攻击,将对电动汽车使用安全及财务造成损失。而针对车厂及供应链而来的勒索病毒与资料外泄威胁,也将对电动汽车产业产生不可忽视的影响。
根据VicOne观察发现,2022年CVE通用漏洞披露数据库中,与汽车相关最为常见的三大弱点分别为:系统芯片(System-on-Chip,SoC)、操作系统核心(Kernel)和即时操作系统(Real-time operating system, RTOS),这些值得OEM厂商与供应商注意的漏洞和弱点,可能会导致数据损坏(data corruption)、系统或程序崩溃(systems or programs crashes)、拒绝服务(DoS)与程序代码执行(code execution),若这些弱点存在于车辆中,将严重影响车辆控制和安全。
回顾2022年整体汽车产业重大安全事件,最严重的前二名分别为“勒索病毒”与“资料外泄”,受害者横跨开发、生产至销售整个产业供应链,其中遭受勒索病毒攻击的对象,又以供应商为大宗占67%,同时,与2021第一季相比,2022同期遭受勒索病毒攻击的企业更增至30%,以Conti、LockBit和Hive等勒索病毒家族最为常见,他们利用已知技术侵入汽车供应链系统之中;而资料外泄(Data Breach)的部分则以客户资讯为大宗,占整体外泄内容的41.7%。
VicOne最新车用安全报告也揭示了汽车业需注意的三大攻击趋势,首先黑客既有针对汽车产业供应链的攻击手法将变得更加针对性,通过垃圾邮件散播或路过式下载(Drive by download)的方式传播勒索软件以提高获利效率。其次,安全事件所造成的运营中断将不再是企业可能面临到的最坏情况,被泄露的客户数据将更直接的影响企业声誉。第三,威胁事件影响范围不再局限于受害者本身,将波及影响上游客户至下游供应商。
报告中也提及充电设施、Cloud API以及远程无钥匙进入系统(Remote Keyless Entry,RKE)等高风险面向。黑客可能通过电动汽车与充电站之间基于CAN bus-based的通信协议劫持数据传输,或通过移动设备收集用户资料以渗透云计算服务权限,或者利用无线电通信系统将恶意程序发送至充电站或电动汽车以取得控制权。同时,也需留意被运用于车辆数据传输与连接前后端服务的Cloud API,一旦遭到破解,黑客便能长驱直入掌控车辆,因此必须限制其权限在最小合理使用范围。此外,随着无线电设备取得更加容易,相关程序代码编写进入门槛降低,使得远程无钥匙进入系统(RKE)更容易被黑客利用,黑客可通过重放攻击(replay attack)破解智能钥匙密码,采取滚动式程序代码机制可有效防止此类型攻击。
趋势科技核心技术部资深协理暨VicOne威胁研究副总裁张裕敏表示:“VicOne的愿景是保护未来车的资讯安全,随着电动汽车市场日益蓬勃兴盛,可以预见黑客将为了谋取利益更加不择手段,整体产业将比以往任何时候都面临着更为巨大的挑战。VicOne依托趋势科技在网络安全领域30多年的深厚技术经验,本报告希望能提醒车用供应链伙伴对眼前的安全攻击威胁有所警觉,企业唯有摒弃旧思维,为每一阶段的生产与服务量身打造符合需求的安全方案,才能快速应对各种新兴威胁。”
针对汽车产业当前面临的网络威胁, VicOne建议决策者应留意几点安全建议:开源软件可快速构建汽车系统架构,但其潜藏的弱点却可能严重影响车辆安全性,真正的安全是实现竞争力的同时也要保持安全的资讯环境;空中下载技术 (Over-the-Air Technology, OTA)是电动汽车设计不可或缺的一部分,能增加安全性并省下成本;维护电动汽车好比维护一座移动的大型数据中心,必须提高对于安全的要求,车辆安全运营中心(VSOC)的存在将不可或缺。