趋势科技车用资安新公司VicOne 发布最新车用安全报告

根据VicOne观察发现，2022年CVE通用漏洞披露资料库中，与汽车相关最为常见的三大弱点分别为：系统晶片（System-on-Chip，SoC）、作业系统核心（Kernel）、及即时作业系统（Real-time operating system，RTOS），这些值得OEM厂商与供应商注意的漏洞和弱点，可能会导致数据损坏（data corruption）、系统或程序崩溃（systems or programs crashes）、阻断服务（DoS）与程式码执行（code execution），若这些弱点存在于车辆中，将严重影响车辆控制和安全。

回顾2022年整体汽车产业重大资安事件，最严重的前二名分别为「勒索病毒」与「资料外泄」，受害者横跨开发、生产至销售整个产业供应链，其中遭受勒索病毒攻击的对象，又以供应商为大宗占67％，同时，与2021第一季相比，2022同期遭受勒索病毒攻击的企业更增至30％，以Conti、LockBit和Hive等勒索病毒家族最为常见，他们利用已知技术侵入汽车供应链系统之中，而资料外泄（Data Breach）的部份则以客户资讯为大宗，占整体外泄内容的41.7％。

VicOne最新车用资安报告也揭示了汽车业需注意的三大攻击趋势，首先，骇客既有针对汽车产业供应链的攻击手法将变得更加针对性，透过垃圾邮件散播或路过式下载（Drive by download）的方式散布勒索软体以提高获利效率。其次，资安事件所造成的营运中断将不再是企业可能面临到的最坏情况，被泄漏的客户数据将更直接的影响企业声誉。再者，威胁事件影响范围不再局限于受害者本身，将扩及影响上游客户至下游供应商。

报告中亦提及充电设施、Cloud API以及远端无钥匙进入系统（Remote Keyless Entry，RKE）等高风险面向。骇客可能透过电动车与充电站之间基于CAN bus-based的通讯协议劫持数据传输，或透过行动装置收集用户资料以渗透云端服务权限，抑或者利用无线电通讯系统将恶意程式传送至充电站或电动车以取得控制权。同时，也需留意被运用于车辆数据传输与连结前后端服务的Cloud API，一旦遭到破解，骇客便能长驱直入掌控车辆，因此必须限制其权限在最小合理使用范围。

此外，随着无线电设备取得更加容易，相关程式码编写进入门槛降低，使得远端无钥匙进入系统（RKE）更容易被骇客利用，骇客可透过重放攻击（replay attack）破解智慧钥匙密码，采取滚动式程式码机制可有效防止此类型攻击。

趋势科技核心技术部资深协理暨VicOne威胁研究副总裁张裕敏表示，VicOne的愿景是保护未来车的资讯安全，随着电动汽车市场日益蓬勃兴盛，可以预见骇客将为了谋取利益更加不择手段，整体产业将比以往任何时候都面临着更为巨大的挑战。VicOne依托趋势科技在网路安全领域30多年的深厚技术经验，本报告希望能提醒车用供应链伙伴对眼前的资安攻击威胁有所警觉，企业唯有摒弃旧思维，为每一阶段的生产与服务量身打造符合需求的资安方案，才能快速应对各种新兴威胁。

开源软体可快速建构汽车系统架构，但其潜藏的弱点却可能严重影响车辆安全性，真正的安全是实现竞争力的同时也要保持安全的资讯环境。

空中下载技术（Over-the-Air Technology，OTA）是电动车设计不可或缺的一部分，能增加安全性并省下成本。

维护电动车好比维护一座移动的大型数据中心，必须提高对于安全的要求，车辆安全营运中心（VSOC）的存在将不可或缺。

针对随汽车市场发展快速变化的恶意攻击，VicOne提供资安重点预测包括勒索软体将持续影响汽车供应链，并将目标扩大至云端供应商和车用元件。无线电信号攻击（重放、回放、阻断、中间人攻击及其他攻击）将增加。恶意软体将被植入IVI/TCU系统。骇客将利用晶片等级的漏洞发动攻击。OTA将成攻击标的，骇客将可利用此机制于车辆中植入恶意程式码。攻击者可绕过数位锁（digital locks），并利用漏洞操控付款机制。