PCDIY!業界新聞
趨勢科技車用資安新公司VicOne公布2022車用資安報告,針對智慧鑰匙、充電設施及勒索病毒威脅提出示警並發表預測
(本資訊由廠商提供,不代表PCDIY!立場) 2022-12-01 09:21:22
趨勢科技車用資安新公司VicOne發布最新2022車用安全研究報告,報告指出電動車產業正面臨日趨嚴重的資訊安全風險,特別是藉遠端無鑰匙進入系統 (remote keyless entry , RKE)、充電設施及車內娛樂(IVI) 等車用系統漏洞發動攻擊,將對電動車使用安全及財務造成損失。而針對車廠及供應鏈而來的勒索病毒與資料外洩威脅,亦將對電動車產業產生不可忽視的影響。
根據VicOne觀察發現,2022年CVE通用漏洞披露資料庫中,與汽車相關最為常見的三大弱點分別為:系統晶片(System-on-Chip,SoC)、作業系統核心(Kernel)和即時作業系統(Real-time operating system, RTOS),這些值得OEM廠商與供應商注意的漏洞和弱點,可能會導致數據損壞(data corruption)、系統或程序崩潰(systems or programs crashes)、阻斷服務(DoS)與程式碼執行(code execution),若這些弱點存在於車輛中,將嚴重影響車輛控制和安全。
回顧2022年整體汽車產業重大資安事件,最嚴重的前二名分別為「勒索病毒」與「資料外洩」,受害者橫跨開發、生產至銷售整個產業供應鏈,其中遭受勒索病毒攻擊的對象,又以供應商為大宗占67%,同時,與2021第一季相比,2022同期遭受勒索病毒攻擊的企業更增至30%,以Conti、LockBit和Hive等勒索病毒家族最為常見,他們利用已知技術侵入汽車供應鏈系統之中;而資料外洩(Data Breach)的部份則以客戶資訊為大宗,占整體外洩內容的41.7%註一。
針對汽車產業當前面臨的網路威脅,VicOne建議決策者應留意幾點安全建議:
開源軟體可快速建構汽車系統架構,但其潛藏的弱點卻可能嚴重影響車輛安全性,真正的安全是實現競爭力的同時也要保持安全的資訊環境。
空中下載技術 (Over-the-Air Technology, OTA)是電動車設計不可或缺的一部分,能增加安全性並省下成本。
維護電動車好比維護一座移動的大型數據中心,必須提高對於安全的要求,車輛安全營運中心(VSOC)的存在將不可或缺。
針對隨汽車市場發展快速變化的惡意攻擊,VicOne提供資安重點預測如下:
勒索軟體將持續影響汽車供應鏈,並將目標擴大至雲端供應商和車用元件。
開源軟體漏洞將影響更多車用元件。
無線電信號攻擊(重放、回放、阻斷、中間人攻擊及其他攻擊)將增加。
惡意軟體將被植入IVI/TCU系統。
駭客將利用晶片等級的漏洞發動攻擊。
OTA將成攻擊標的,駭客將可利用此機制於車輛中植入惡意程式碼。
攻擊者可繞過數位鎖(digital locks),並利用漏洞操控付款機制。
更多關於VicOne相關訊息請參考:https://www.vicone.com/zh
註一:資料統計期間從January 2021 to June 2022
根據VicOne觀察發現,2022年CVE通用漏洞披露資料庫中,與汽車相關最為常見的三大弱點分別為:系統晶片(System-on-Chip,SoC)、作業系統核心(Kernel)和即時作業系統(Real-time operating system, RTOS),這些值得OEM廠商與供應商注意的漏洞和弱點,可能會導致數據損壞(data corruption)、系統或程序崩潰(systems or programs crashes)、阻斷服務(DoS)與程式碼執行(code execution),若這些弱點存在於車輛中,將嚴重影響車輛控制和安全。
回顧2022年整體汽車產業重大資安事件,最嚴重的前二名分別為「勒索病毒」與「資料外洩」,受害者橫跨開發、生產至銷售整個產業供應鏈,其中遭受勒索病毒攻擊的對象,又以供應商為大宗占67%,同時,與2021第一季相比,2022同期遭受勒索病毒攻擊的企業更增至30%,以Conti、LockBit和Hive等勒索病毒家族最為常見,他們利用已知技術侵入汽車供應鏈系統之中;而資料外洩(Data Breach)的部份則以客戶資訊為大宗,占整體外洩內容的41.7%註一。
汽車產業應留意三大攻擊趨勢
VicOne最新車用資安報告也揭示了汽車業需注意的三大攻擊趨勢,首先駭客既有針對汽車產業供應鏈的攻擊手法將變得更加針對性,透過垃圾郵件散播或路過式下載(Drive by download)的方式散布勒索軟體以提高獲利效率。其次,資安事件所造成的營運中斷將不再是企業可能面臨到的最壞情況,被洩漏的客戶數據將更直接的影響企業聲譽。第三,威脅事件影響範圍不再侷限於受害者本身,將擴及影響上游客戶至下游供應商。電動車充電設施(EV Charging Stations)、Cloud API及遠端無鑰匙進入系統(RKE)成資安高風險地帶
報告中亦提及充電設施、Cloud API以及遠端無鑰匙進入系統(Remote Keyless Entry,RKE)等高風險面向。駭客可能透過電動車與充電站之間基於CAN bus-based的通訊協議劫持數據傳輸,或透過行動裝置收集用戶資料以滲透雲端服務權限,或者利用無線電通訊系統將惡意程式傳送至充電站或電動車以取得控制權。同時,也需留意被運用於車輛數據傳輸與連結前後端服務的Cloud API,一旦遭到破解,駭客便能長驅直入掌控車輛,因此必須限制其權限在最小合理使用範圍。此外,隨著無線電設備取得更加容易,相關程式碼編寫進入門檻降低,使得遠端無鑰匙進入系統(RKE)更容易被駭客利用,駭客可透過重放攻擊(replay attack)破解智慧鑰匙密碼,採取滾動式程式碼機制可有效防止此類型攻擊。VicOne致力守護未來車安全
趨勢科技核心技術部資深協理暨VicOne威脅研究副總裁張裕敏表示:「VicOne的願景是保護未來車的資訊安全,隨著電動汽車市場日益蓬勃興盛,可以預見駭客將為了謀取利益更加不擇手段,整體產業將比以往任何時候都面臨著更為巨大的挑戰。VicOne依託趨勢科技在網路安全領域30多年的深厚技術經驗,本報告希望能提醒車用供應鏈夥伴對眼前的資安攻擊威脅有所警覺,企業唯有摒棄舊思維,為每一階段的生產與服務量身打造符合需求的資安方案,才能快速應對各種新興威脅。」針對汽車產業當前面臨的網路威脅,VicOne建議決策者應留意幾點安全建議:
開源軟體可快速建構汽車系統架構,但其潛藏的弱點卻可能嚴重影響車輛安全性,真正的安全是實現競爭力的同時也要保持安全的資訊環境。
空中下載技術 (Over-the-Air Technology, OTA)是電動車設計不可或缺的一部分,能增加安全性並省下成本。
維護電動車好比維護一座移動的大型數據中心,必須提高對於安全的要求,車輛安全營運中心(VSOC)的存在將不可或缺。
針對隨汽車市場發展快速變化的惡意攻擊,VicOne提供資安重點預測如下:
勒索軟體將持續影響汽車供應鏈,並將目標擴大至雲端供應商和車用元件。
開源軟體漏洞將影響更多車用元件。
無線電信號攻擊(重放、回放、阻斷、中間人攻擊及其他攻擊)將增加。
惡意軟體將被植入IVI/TCU系統。
駭客將利用晶片等級的漏洞發動攻擊。
OTA將成攻擊標的,駭客將可利用此機制於車輛中植入惡意程式碼。
攻擊者可繞過數位鎖(digital locks),並利用漏洞操控付款機制。
更多關於VicOne相關訊息請參考:https://www.vicone.com/zh
註一:資料統計期間從January 2021 to June 2022
- 發表您的看法
請勿張貼任何涉及冒名、人身攻擊、情緒謾罵、或內容涉及非法的言論。
請勿張貼任何帶有商業或宣傳、廣告用途的垃圾內容及連結。
請勿侵犯個人隱私權,將他人資料公開張貼在留言版內。
請勿重複留言(包括跨版重複留言)或發表與各文章主題無關的文章。
請勿張貼涉及未經證實或明顯傷害個人名譽或企業形象聲譽的文章。
您在留言版發表的內容需自負言論之法律責任,所有言論不代表PCDIY!雜誌立場,違反上述規定之留言,PCDIY!雜誌有權逕行刪除您的留言。
最近新增
- 創見發表工業級8TB大容量SSD, 內建斷電保護技術,保障資料安全
- 裝機美學新視界!ASUS Prime AP202全景機殼質感登場
- 科技結合嗅覺美學!華碩獨創香氛滑鼠正式登台
- 華為穿戴產品躍升2025年第一季全球穿戴市場第一 HUAWEI熱銷穿戴限時優惠,邀花粉同慶活力一夏!
- 《毀滅戰士:黑暗時代》將支援路徑追蹤,《聯邦控制局:防火組》上市即支援具有多畫格生成的 DLSS 4,NVIDIA 同步釋出新版 GeForce Game Ready 驅動程式
- 技嘉 MO27Q2A 280Hz QHD OLED 電競螢幕正式上市 通過ClearMR 15000認證的QHD高更新率OLED,打造更順暢的遊戲體驗
- 藍寶科技全系列顯示卡實體通路同步販售 Coolpc原價屋與Sinya欣亞數位 今日起全面開賣!
- 美光 HBM 導入 AMD AI 平台,實現高效能運算突破 美光的高頻寬記憶體(HBM3E 12 層堆疊 36GB記憶體)與 AMD Instinct MI350 系列 GPU 及平台攜手推動 AI 資料中心創新與成長
- 【TRYX LUCA L70】鏡映之境・無界之形:實踐 超現實精品機殼美學
- 精巧體積,極致效能 MONTECH 推出單塔散熱器NX400 ARGB
- 《無限暖暖》1.6版本「天真季」趣味玩法,多項優化上線!
- ATEN首度躋身「第十一屆公司治理評鑑」全體上市公司評鑑前5% 穩健治理與永續實踐獲國家級肯定
最多人點閱
- Microsoft Azure Certified for IoT 快速打造智慧物聯網
- SP廣穎電通將於德國2015 Embedded World展示全方位工控系列產品
- 英特爾舉辦亞洲區創新高峰會 促進台灣與全亞洲產業體系的創新發展
- IEM於台北國際電玩展熱血開打,購買Intel Core i5/i7處理器系列+SSD 750即得限量好禮
- 深根台灣成就萬物相聯 2015 ARM®新竹辦公室擴大營運暨亞洲第一座CPU設計中心開幕
- AMD發表全球首款GPU硬體虛擬化產品線
- AMD推出全球首款業界領先的32GB記憶體伺服器GPU 瞄準高效能運算
- AMD推出全新Catalyst 15.7驅動程式 讓AMD APU及GPU充分展現Windows®10直覺化體驗
- PLEXTOR感恩節大回饋,M6V卡禮來雙重送!
- 希捷科技:2016年六大科技趨勢
- 台灣微軟攜手台大電機 高中程式夏令營獲佳評
- 台灣微軟與Lamigo聯手 應援總冠軍封王賽「Win for 10」!
