趨勢科技旗下車用資安公司 VicOne 今日發表最新 2022 車用安全研究報告,指出電動車產業正面臨日趨嚴重的資訊安全風險,特別是藉遠端無鑰匙進入系統(Remote keyless entry , RKE)、充電設施及車內娛樂(IVI)等車用系統漏洞發動攻擊,將對電動車使用安全及財務造成損失;而針對車廠及供應鏈而來的勒索病毒與資料外洩威脅,亦將對電動車產業產生不可忽視的影響。
回顧 2022 年整體汽車產業重大資安事件,最嚴重的前二名分別為「勒索病毒」與「資料外洩」,受害者橫跨開發、生產至銷售整個產業供應鏈,其中遭受勒索病毒攻擊的對象,又以供應商為大宗占 67%。
而與2021第一季相比,2022 同期遭受勒索病毒攻擊的企業更增至 30%,以 Conti、LockBit 和 Hive 等勒索病毒家族最為常見,他們利用已知技術侵入汽車供應鏈系統之中;而資料外洩(Data Breach)的部份則以客戶資訊為大宗,占整體外洩內容的41.7%。
根據 VicOne 觀察發現,2022 年 CVE 通用漏洞披露資料庫中,與汽車相關最為常見的三大弱點分別為系統晶片、作業系統核心和即時作業系統,這些漏洞和弱點可能會導致數據損壞、系統或程序崩潰、阻斷服務(DoS)與程式碼執行;若這些弱點存在於車輛中,將嚴重影響車輛控制和安全。
對此,VicOne 揭示汽車業應注意三大攻擊趨勢。首先駭客既有針對汽車產業供應鏈的攻擊手法將變得更加針對性,透過垃圾郵件散播或路過式下載(Drive by download)的方式散布勒索軟體以提高獲利效率。
其次,資安事件所造成的營運中斷將不再是企業可能面臨到的最壞情況,被洩漏的客戶數據將更直接的影響企業聲譽。第三,威脅事件影響範圍不再侷限於受害者本身,將擴及影響上游客戶至下游供應商。
報告也提醒,充電設施、Cloud API 及遠端無鑰匙進入系統也具有高風險。駭客可能透過電動車與充電站之間基於 CAN bus-based 的通訊協議劫持數據傳輸,或透過行動裝置收集用戶資料以滲透雲端服務權限,或者利用無線電通訊系統將惡意程式傳送至充電站或電動車以取得控制權。同時,也需留意被運用於車輛數據傳輸與連結前後端服務的 Cloud API,一旦遭到破解,駭客便能長驅直入掌控車輛,因此必須限制其權限在最小合理使用範圍。
(首圖來源:unsplash)
