《科技》VicOne车用资安报告 汽车供应链最危险

报告内容显示，今年上半年网路攻击所造成的损失金额已突破110亿美元，相较于前两年，可谓史无前例地暴增。仔细研究之后就会发现，这些网路攻击绝大多数都是瞄准了汽车供应商，显示此一趋势正在崛起。令人担忧的是，这些攻击超过90％并非针对车厂本身，而是供应链中的其他厂商，因为骇客常常发现资安严密的公司较不容易渗透，因此转而瞄准警觉性较低公司。一旦供应链被中断，车厂同样亦受到冲击，所以防范网路攻击的工作已经不再只是保护好单一企业就行，而是要强化整个供应链。

此外，业界因网路攻击(如勒索病毒)以及外泄资料或个人身分识别资讯(PII)曝光所蒙受的损失正在成长，同样成长的还有系统停机所带来的成本。VicOne 2023年汽车网路威胁情势报告的统计仅纳入技术和营运相关的有形成本，不包含品牌、公关、销售及行销费用等无形成本。

该报告列出几个可能导致汽车资料外泄的重要漏洞，并在表格中列出这些常见的弱点列表(CWE)漏洞。越界写入(OOBW)、越界读取(OOBR)、缓冲区溢位、用后释放和不当的输入验证漏洞是VicOne记录到最常见的一些问题。而大多数问题是在晶片组或系统单晶片(SoC)上发现，其次是第三方管理应用程式以及车载资讯娱乐(IVI)系统。第三方供应商，包括物流、服务供应商，以及参与车辆元件、配件或零件生产的公司，已日益成为攻击的焦点。

尽管目前的法规在关于汽车数据方面的规范仍存在着真空地带，但VicOne报告指出UN R155规范将从2024年7月开始对新生产的车辆要求符合安全条件。