科技新知


手機鑰匙被盜、充電設施被駭、勒索病毒擴散!汽車資安報告:偷竊、擄車勒贖、產線癱瘓!  

以下是一個稍有難度的報導,屬於網路、電腦、資工相關背景的專業人士才能全盤釐清,一般讀者只要明白相關威脅性即可。由台灣人所創辦、先於美國紮根、再於東京設置總部、過往專營防毒軟體開發的「趨勢科技」,因電動車、互聯網、手機遠端控制、軟體雲端更新、導航、自駕...等汽車通訊科技的普及,進而轉投資汽車資安公司「VicOne」,近期發布最新2022車用安全研究報告。

相關內容指出電動車產業正面臨日趨嚴重的資訊安全風險,特別是藉遠端無鑰匙進入系統 (remote keyless entry , RKE)、充電設施、車內娛樂(IVI) 等車用系統漏洞發動攻擊,將對電動車使用安全及財務造成損失。因車廠及供應鏈而來的勒索病毒與資料外洩威脅,將對電動車產業產生不可忽視的影響。

根據VicOne觀察發現,2022年CVE通用漏洞披露資料庫中,與汽車相關最為常見的三大弱點分別為:系統晶片(System-on-Chip,SoC)、作業系統核心(Kernel)、即時作業系統(Real-time operating system, RTOS)。

這些值得OEM廠商與供應商注意的漏洞和弱點,可能會導致數據損壞(data corruption)、系統或程序崩潰(systems or programs crashes)、阻斷服務(DoS)與終止程式碼執行(code execution),若這些弱點存在於車輛中,將嚴重影響車輛控制和安全。

回顧2022年整體汽車產業重大資安事件,最嚴重的前二名分別為「勒索病毒」與「資料外洩」,受害者橫跨開發、生產至銷售整個產業供應鏈,其中遭受勒索病毒攻擊的對象,又以供應商為大宗,占約67%。

與2021第一季相比,2022同期遭受勒索病毒攻擊的企業更增至30%,以Conti、LockBit、Hive等勒索病毒家族最為常見,他們利用已知技術侵入汽車供應鏈系統之中;而資料外洩(Data Breach)的部份則以客戶資訊為大宗,占整體外洩內容的41.7%。(資料統計期間從January 2021 to June 2022)

2022年初,日本因加入美國陣營對俄羅斯進行經濟制裁,Toyota母廠因此遭到俄國駭客攻擊,癱瘓日本境內汽車生產線約一週之久,破口並非Toyota集團本身的電腦系統,而是鈑件壓鑄協力廠商的網路系統被入侵成功,進而癱瘓Toyota日本在地所有的生產線。顯然駭客很清楚短時間內難以攻破Toyota大本營,因此決定從防護能力較弱的上游供應商下手!

根據美國資安相關單位的警告,T家電動車用戶應該儘量避免使用手機鑰匙進行車輛解鎖的動作,因為科技竊賊只要埋伏在您的愛車附近,作案工具僅需一台筆電,就可以在您用手機鑰匙解鎖瞬間竊取相關傳輸資訊,經軟體破解後輕鬆竊取您的愛車!事實上汽車資安犯罪問題可能比一般人想像的還要嚴重!

汽車產業應留意三大攻擊趨勢

未來汽車業需注意三大攻擊趨勢。首先,駭客既有針對汽車產業供應鏈的攻擊手法將變得更加針對性,透過垃圾郵件散播或路過式下載(Drive by download)的方式散布勒索軟體以提高獲利效率。

其次,資安事件所造成的營運中斷將不再是企業可能面臨到的最壞情況,被洩漏的客戶數據將更直接的影響企業聲譽。第三,威脅事件影響範圍不再侷限於受害者本身,將擴及影響上游客戶至下游供應商。

電動車充電設施(EV Charging Stations)、Cloud API及遠端無鑰匙進入系統(RKE)成資安高風險地帶!

電動車尤需注意報充電設施、Cloud API以及遠端無鑰匙進入系統(Remote Keyless Entry,RKE)等高風險面向。駭客可能透過電動車與充電站之間基於CAN bus-based的通訊協議劫持數據傳輸,或透過行動裝置收集用戶資料以滲透雲端服務權限,或者利用無線電通訊系統將惡意程式傳送至充電站或電動車以取得控制權。

同時,車廠與車主也需留意被運用於「車輛數據傳輸與連結前後端服務」的Cloud API,包含,一旦遭到破解,駭客便能長驅直入掌控車輛,因此必須限制其權限在最小合理使用範圍。此外,隨著無線電設備取得更加容易,相關程式碼編寫進入門檻降低,使得遠端無鑰匙進入系統(RKE)更容易被駭客利用,駭客可透過重放攻擊(replay attack)破解智慧鑰匙密碼,車廠採取「滾動式程式碼機制」可有效防止此類型攻擊。

汽車產業面臨當前的網路威脅,VicOne建議決策者應留意幾點安全建議:

• 開源軟體可快速建構汽車系統架構,但其潛藏的弱點卻可能嚴重影響車輛安全性,真正的安全是實現競爭力的同時也要保持安全的資訊環境。

• 空中下載技術 (Over-the-Air Technology, OTA)是電動車設計不可或缺的一部分,能增加安全性並省下成本。

• 維護電動車好比維護一座移動的大型數據中心,必須提高對於安全的要求,車輛安全營運中心(VSOC)的存在將不可或缺。

針對汽車市場快速發展隨之而來的惡意攻擊,VicOne提供資安重點預測如下:

• 勒索軟體將持續影響汽車供應鏈,並將目標擴大至雲端供應商和車用元件。

• 開源軟體漏洞將影響更多車用元件。

• 無線電信號攻擊(重放、回放、阻斷、中間人攻擊及其他攻擊)將增加。

• 惡意軟體將被植入IVI/TCU系統。

• 駭客將利用晶片等級的漏洞發動攻擊。

• OTA將成攻擊標的,駭客將可利用此機制於車輛中植入惡意程式碼。

• 攻擊者可繞過數位鎖(digital locks),並利用漏洞操控付款機制。

以上,相信約5成的讀者看不懂細節,畢竟有太多專有名詞、翻譯詞、原文要去理解,但最重要的是~車主能做的防範很有限,這些幾乎都是車廠要去克服的難題,因此本文其實是VicOne的招商廣傳文案!要不是趨勢科技是台灣人所創辦,再加上我的好朋友在裡面上班,否則我才懶得幫外人宣傳和曝光!說是資安報告,其實就是「如果你不懂、請找專業的幫忙、否則駭客就在你身旁」夠直白了吧!